ToB企服应用市场:ToB评测及商务社交产业平台

标题: Linux之iptables（NAT表）——实验篇 [打印本页]

作者: 惊雷无声 时间: 2022-6-24 11:24
标题: Linux之iptables（NAT表）——实验篇
知识讲解：(18条消息) Linux之iptables（NAT表）讲解篇_孤城286的博客-CSDN博客
一、SNAT（源地址转换）
——实验设备：
—— 实现目的：
——实验拓扑：
——实验配置：
（1） windows设置IP地址及网关：
（2）配置linux网关服务器网卡及ip：
（3）配置linux web服务器网卡及ip：
（4） Linux网关服务器写入规则：
（5）验证：windows访问web服务：
二、出现问题及解决：MASQUERADE（IP伪装）
三、DNAT（目标地址转换）
——实验目标:
——实验设备：
——实验拓扑：
——实验原理：
—— Linux 网关服务器配置：

一、SNAT（源地址转换）

——实验设备：

—— 实现目的：

本地windows设备通过linux网关服务器访问web服务器的tomcat服务，

——实验拓扑：

注：Linux网关服务器网关只能是内部设备，因为web服务器是对外部提供服务的出于安全考虑网关不能放在Linux网关服务器上，linux网关服务器是我自己的。
所以如果不做NAT地址转换的话，当windows发送TCP请求时，数据包到达web服务器之后，web服务器不知道将数据包发送给谁。

——实验配置：

（1） windows设置IP地址及网关：

适用win键+r键，调出运行框
输入control，回车进入控制面板
进入网络和共享中心
进入网络适配器
点击属性，选择ipv4选项
设置ip地址

（2）配置linux网关服务器网卡及ip：

[root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
1 TYPE="Ethernet"
2 BOOTPROTO="static"
3 DEVICE="ens33"
4 ONBOOT="yes"
5 IPADDR="192.168.1.254"
6 NETMASK="255.255.255.0"
[root@localhost poem]# ifdown ens33
成功断开设备 "ens33"。
[root@localhost poem]# ifup ens33
连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/7）

复制代码

[root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens36
1 OTPROTO="static"
2 DEVICE="ens36"
3 ONBOOT="yes"
4 IPADDR="12.34.56.78"
5 NETMASK="255.255.255.0"
6 DEFROUTE="yes"
[root@localhost poem]# ifdown ens36
成功断开设备 "ens36"。
[root@localhost poem]# ifup ens36
连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/7）
————重启网卡生效

复制代码

（3）配置linux web服务器网卡及ip：

[root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
1 TYPE="Ethernet"
2 BOOTPROTO="static"
3 DEFROUTE="yes"
4 DEVICE="ens33"
5 ONBOOT="yes"
6 IPADDR="12.34.56.79"
7 NETMASK="255.255.255.0"
[root@localhost poem]# ifdown ens33
成功断开设备 "ens33"。
[root@localhost poem]# ifup ens33
连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/6）
[root@localhost poem]#
————重启网卡生效

复制代码

配置之后ping不通Linux web服务器（做NAT之前）：

（4） Linux网关服务器写入规则：

[root@localhost poem]# iptables -t nat -I POSTROUTING -p tcp -o ens36 -s 192.168.1.0/24 -j SNAT --to-source 12.34.56.78 ——写入规则

复制代码

[root@localhost poem]# iptables -t nat -nvL ————查看nat表

复制代码

写入成功！！！
此时，linux网关服务器访问Linux web服务器的tomcat服务：
注意访问前：

网关服务器开启路由转发功能
一定要关闭web服务器防火墙和开启tomcat服务，不然会被屏蔽：

[root@localhost poem]# systemctl stop firewalld

复制代码

访问成功！！！
（5）验证：windows访问web服务：

访问成功！！！！
—————————————————————————————————————————————————————————
二、出现问题及解决：MASQUERADE（IP伪装）

如果 Linux 网关服务器 ip 地址变换，这里我们可以看到 PC 无法访问：
写入新的规则

iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.0/24 -j MASQUERADE

复制代码

写入成功！！！！
可以看到这里的-A 没有生效删除它上面的规则，使其生效

iptables -t nat -D POSTROUTING 1

复制代码

PC 可以成功访问了！！！！

————————————————————————————————————————————————————————
三、DNAT（目标地址转换）

——实验目标:

通过DNAT转换，windows能访问公司内部服务器
——实验设备：

——实验拓扑：

——实验原理：

—— Linux 网关服务器配置：

设定路由前规则：

[root@localhost poem]# iptables -t nat -A PREROUTING -i ens33 -d 12.34.56.80 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:8080

复制代码

再结合前面一个实验我们配置好的路由后的规则
外网 PC 通过 80 端口成功访问内网服务器的 8080 端口

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)