知识讲解:(18条消息) Linux之iptables(NAT表)讲解篇_孤城286的博客-CSDN博客
一、SNAT(源地址转换)
——实验设备:
—— 实现目的:
- 本地windows设备通过linux网关服务器访问web服务器的tomcat服务,?
——实验拓扑:
- 注:Linux网关服务器网关只能是内部设备,因为web服务器是对外部提供服务的出于安全考虑网关不能放在Linux网关服务器上,linux网关服务器是我自己的。
- 所以如果不做NAT地址转换的话,当windows发送TCP请求时,数据包到达web服务器之后,web服务器不知道将数据包发送给谁。
——实验配置:?
(1)? windows设置IP地址及网关:
- 适用win键+r键,调出运行框
- 输入control,回车进入控制面板
- 进入网络和共享中心
- 进入网络适配器
- 点击属性,选择ipv4选项
- 设置ip地址
(2) 配置linux网关服务器网卡及ip:
[root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
1 TYPE="Ethernet"
2 BOOTPROTO="static"
3 DEVICE="ens33"
4 ONBOOT="yes"
5 IPADDR="192.168.1.254"
6 NETMASK="255.255.255.0"
[root@localhost poem]# ifdown ens33
成功断开设备 "ens33"。
[root@localhost poem]# ifup ens33
连接已成功激活(D-Bus 活动路径:/org/freedesktop/NetworkManager/ActiveConnection/7)
[root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens36
1 OTPROTO="static"
2 DEVICE="ens36"
3 ONBOOT="yes"
4 IPADDR="12.34.56.78"
5 NETMASK="255.255.255.0"
6 DEFROUTE="yes"
[root@localhost poem]# ifdown ens36
成功断开设备 "ens36"。
[root@localhost poem]# ifup ens36
连接已成功激活(D-Bus 活动路径:/org/freedesktop/NetworkManager/ActiveConnection/7)
————重启网卡生效(3) 配置linux web服务器网卡及ip:
[root@localhost poem]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
1 TYPE="Ethernet"
2 BOOTPROTO="static"
3 DEFROUTE="yes"
4 DEVICE="ens33"
5 ONBOOT="yes"
6 IPADDR="12.34.56.79"
7 NETMASK="255.255.255.0"
[root@localhost poem]# ifdown ens33
成功断开设备 "ens33"。
[root@localhost poem]# ifup ens33
连接已成功激活(D-Bus 活动路径:/org/freedesktop/NetworkManager/ActiveConnection/6)
[root@localhost poem]#
————重启网卡生效
?配置之后ping不通Linux web服务器(做NAT之前):
(4) Linux网关服务器写入规则:
[root@localhost poem]# iptables -t nat -I POSTROUTING -p tcp -o ens36 -s 192.168.1.0/24 -j SNAT --to-source 12.34.56.78 ——写入规则
[root@localhost poem]# iptables -t nat -nvL ————查看nat表?
?写入成功!!!
此时,linux网关服务器访问Linux web服务器的tomcat服务:
注意访问前:
- 网关服务器开启路由转发功能
- 一定要关闭web服务器防火墙和开启tomcat服务,不然会被屏蔽:
[root@localhost poem]# systemctl stop firewalld
?
?访问成功!!!
(5)验证:windows访问web服务:
?访问成功!!!!
—————————————————————————————————————————————————————————?
二、出现问题及解决 :MASQUERADE(IP伪装)
如果 Linux 网关服务器 ip 地址变换, 这里我们可以看到 PC 无法访问:
写入新的规则
?iptables -t nat -A POSTROUTING -p tcp -o eth1 -s 192.168.1.0/24 -j MASQUERADE?
?写入成功!!!!
可以看到这里的-A 没有生效 删除它上面的规则,使其生效
?iptables -t nat -D POSTROUTING 1?
PC 可以成功访问了!!!!
————————————————————————————————————————————————————————?
三、DNAT(目标地址转换)?
——实验目标:
?通过DNAT转换,windows能访问公司内部服务器
——实验设备:
——实验拓扑:
?——实验原理:
—— Linux 网关服务器配置:
设定路由前规则:
[root@localhost poem]# iptables -t nat -A PREROUTING -i ens33 -d 12.34.56.80 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:8080
再结合前面一个实验我们配置好的路由后的规则
外网 PC 通过 80 端口成功访问内网服务器的 8080 端口
