Linux之iptables（NAT表）——实验篇

知识讲解：(18条消息) Linux之iptables（NAT表）讲解篇_孤城286的博客-CSDN博客
一、SNAT（源地址转换）
——实验设备：
—— 实现目的：
——实验拓扑：
——实验配置： 
（1）  windows设置IP地址及网关：
（2） 配置linux网关服务器网卡及ip：
（3） 配置linux web服务器网卡及ip：
（4） Linux网关服务器写入规则：
（5）验证：windows访问web服务：
二、出现问题及解决 ：MASQUERADE（IP伪装）
三、DNAT（目标地址转换） 
——实验目标:
——实验设备：
——实验拓扑：
 ——实验原理：
—— Linux 网关服务器配置：

---

一、SNAT（源地址转换）

——实验设备：

—— 实现目的：

• 本地windows设备通过linux网关服务器访问web服务器的tomcat服务， 
  

——实验拓扑：

• 注：Linux网关服务器网关只能是内部设备，因为web服务器是对外部提供服务的出于安全考虑网关不能放在Linux网关服务器上，linux网关服务器是我自己的。
  
• 所以如果不做NAT地址转换的话，当windows发送TCP请求时，数据包到达web服务器之后，web服务器不知道将数据包发送给谁。
  

——实验配置： 

（1）  windows设置IP地址及网关：

• 适用win键+r键，调出运行框
  
• 输入control，回车进入控制面板
  
• 进入网络和共享中心
  
• 进入网络适配器
  
• 点击属性，选择ipv4选项
  
• 设置ip地址
  

（2） 配置linux网关服务器网卡及ip：

1. [root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
2.   1 TYPE="Ethernet"
3.   2 BOOTPROTO="static"
4.   3 DEVICE="ens33"
5.   4 ONBOOT="yes"
6.   5 IPADDR="192.168.1.254"
7.   6 NETMASK="255.255.255.0"
9. [root@localhost poem]# ifdown ens33
10. 成功断开设备 "ens33"。
11. [root@localhost poem]# ifup ens33
12. 连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/7）

复制代码

1. [root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens36
2.   1 OTPROTO="static"
3.   2 DEVICE="ens36"
4.   3 ONBOOT="yes"
5.   4 IPADDR="12.34.56.78"
6.   5 NETMASK="255.255.255.0"
7.   6 DEFROUTE="yes"
9. [root@localhost poem]# ifdown ens36
10. 成功断开设备 "ens36"。
11. [root@localhost poem]# ifup ens36
12. 连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/7）
13.                                ————重启网卡生效

复制代码

（3） 配置linux web服务器网卡及ip：

1. [root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
2.   1 TYPE="Ethernet"
3.   2 BOOTPROTO="static"
4.   3 DEFROUTE="yes"
5.   4 DEVICE="ens33"
6.   5 ONBOOT="yes"
7.   6 IPADDR="12.34.56.79"
8.   7 NETMASK="255.255.255.0"
9.                              
10. [root@localhost poem]# ifdown ens33
11. 成功断开设备 "ens33"。
12. [root@localhost poem]# ifup ens33
13. 连接已成功激活（D-Bus 活动路径：/org/freedesktop/NetworkManager/ActiveConnection/6）
14. [root@localhost poem]#         
15.                                     ————重启网卡生效

复制代码

 配置之后ping不通Linux web服务器（做NAT之前）：

（4） Linux网关服务器写入规则：

1. [root@localhost poem]# iptables -t nat -I POSTROUTING -p tcp -o ens36 -s 192.168.1.0/24 -j SNAT --to-source 12.34.56.78 ——写入规则

复制代码

1. [root@localhost poem]# iptables -t nat -nvL ————查看nat表

复制代码

 

 写入成功！！！
此时，linux网关服务器访问Linux web服务器的tomcat服务：
注意访问前：

• 网关服务器开启路由转发功能
  
• 一定要关闭web服务器防火墙和开启tomcat服务，不然会被屏蔽：
  

1. [root@localhost poem]# systemctl stop firewalld

复制代码

 

 访问成功！！！
（5）验证：windows访问web服务：


 访问成功！！！！
————————————————————————————————————————————————————————— 
二、出现问题及解决 ：MASQUERADE（IP伪装）

如果 Linux 网关服务器 ip 地址变换， 这里我们可以看到 PC 无法访问：
写入新的规则

1.  iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.0/24 -j MASQUERADE 

复制代码

 写入成功！！！！
可以看到这里的-A 没有生效 删除它上面的规则，使其生效

1.  iptables -t nat -D POSTROUTING 1

复制代码

 

PC 可以成功访问了！！！！

———————————————————————————————————————————————————————— 
三、DNAT（目标地址转换） 

——实验目标:

 通过DNAT转换，windows能访问公司内部服务器
——实验设备：

——实验拓扑：


 ——实验原理：


—— Linux 网关服务器配置：

设定路由前规则：

1. [root@localhost poem]# iptables -t nat -A PREROUTING -i ens33 -d 12.34.56.80 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:8080

复制代码

再结合前面一个实验我们配置好的路由后的规则
外网 PC 通过 80 端口成功访问内网服务器的 8080 端口



免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！