一、SNAT源地址轉換；

二、DNAT目的地址轉換；

三、SNAT和DNAT實戰(zhàn)案例；

一、SNAT源地址轉換；

1.原理：在路由后鏈POSTROUTING將內網主機的ip地址轉換成外網網卡的ip地址；

2.應用場景：共享內部主機上網，在網關主機上設置；

3.設置SNAT：

  a.設置內外網網卡的網絡參數；

  b.開啟路由轉發(fā)功能；

       sed -i '/ip_forward/s/0/1/g' /etc/sysctl.conf

       sysctl -p

  c.編寫規(guī)則；

        iptables -t nat -I POSTROUTING -o 外網網卡 -s 內網的網段/24 -j SNAT --to-source 外網網卡的ip地址                ##適用于                外網ip地址固定的環(huán)境

        iptables -t nat -I POSTROUTING -o 外網網卡 -s 內網的網段/24 -j MASQUERADE                ##適用于網關服務器外網網卡                地址不是固定的環(huán)境

  d.做好安全控制：使用FORWARD時機進行控制，嚴格設置INPUT規(guī)則；

  e.配置客戶端網關；

二、DNAT目的地址轉換；

1.原理：在路由前鏈PREROUTING將來自外網訪問網關公網ip及對應端口的目的ip及端口修改為內部服務器的ip及端口，實現發(fā)布內網服務器；

2.應用場景：發(fā)布內網主機到公網

3.設置DNAT：網關主機上設置

  a.設置ip地址，開啟路由，設置SNAT，保證內部主機和內部服務器可以連接公網；

  b.編寫防火墻規(guī)則；

       iptables -t nat -I PREROUTING -i 外網網卡名 -d 外網網卡的ip地址 -p tcp --dport 發(fā)布的端口 -j DNAT --to-destination 內網服務器ip地址              ##將內網服務器發(fā)布到網關主機的外網ip地址并對應其端口，后邊的端口可以省略；

  c.外網客戶端訪問網關外網ip地址進行測試；

三、SNAT和DNAT的實戰(zhàn)案例：

1.需求：共享公網ip上網，發(fā)布ftp和httpd服務，控制網關安全；

2.配置過程：

  a.配置好ip地址等參數后，開啟路由轉發(fā)功能；

  b.編寫規(guī)則：

       編寫SNAT和DNAT規(guī)則：

       [root@lwh ~]# /etc/init.d/iptables stop

       [root@lwh ~]# iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth1 -j MASQUERADE

       [root@lwh ~]# iptables -t nat -A PREROUTING -d 192.168.50.101 -i eth1 -p tcp -m multiport --dports 21,20,40000:45000,80,443 -j DNAT --to-destination 192.168.100.153

    編輯網關安全控制規(guī)則：

       [root@lwh ~]# iptables -A INPUT -i lo -j ACCEPT              ##允許本地網卡訪問

       [root@lwh ~]# iptables -A INPUT -s 192.168.100.0/24 -i eth0 -p icmp -j ACCEPT              ##允許內網ping

       [root@lwh ~]# iptables -A INPUT -s 192.168.100.250 -p tcp --dport 22 -j ACCEPT              ##允許主機100.250遠程登陸主機

       [root@lwh ~]# iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT              ##允許放行主機已經建立的連接

       [root@lwh ~]# iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT              ##轉發(fā)源地址為內網地址的流量

       [root@lwh ~]# iptables -A FORWARD -d 192.168.100.0/24 -j ACCEPT              ##轉發(fā)目的地址為內網地址的流量

       [root@lwh ~]# iptables -P INPUT DROP

       [root@lwh ~]# iptables -P FORWARD DROP

  d.保存規(guī)則：

       [root@lwh ~]# /etc/init.d/iptables save

       [root@lwh ~]# chkconfig iptables on

       [root@lwh ~]# iptables-save >/root/1.txt              ##將iptables規(guī)則導入到某文件中

       [root@lwh ~]# iptables-restore              ##恢復文件中的防火墻規(guī)則