网络地址转换实验

1.概念

    网络地址转换用于控制网络封包的表面源或所需目标地址。

    基于主机的简单防火墙只具有 INPUT 链中的规则,以 ACCEPT 或 REJECT 封包,但是在专用(不可路由)网络的网关或路由器上,通常使用 PREROUTING 和 POSTROUTING 链修改封包。nat 表使用三条链: PREROUTING 、 OUTPUT 和 POSTROUTING 。当路由器修改通过其的网络通信的源或目标 IP 地址或端口时,进行网络地址转换。它用于映射使用单个 IP 地址的计算机网络,以使其可以共享单个公共地址并隐藏其内部网络( MASQUERADE 或 SNAT )。它还用于将发送到一个 IP 地址的通信重定向到另一个 IP 地址。此目标 NAT 用于端口转发(通过防火墙外部的端口至防火墙内部的服务)并用于透明地重定向至代理服务。

    MASQUERADE 目标使源 IP 地址更改为与开启防火墙的接口的 IP 相匹配。目标将响应发送回该接口的 IP地址。连接跟踪自动将返回通信转换为匹配的内部 IP 地址和端口(基于连接两端的 IP 地址和端口进行跟踪)。 SNAT 目标通过选项 --to-source 使源 IP 地址更改为指定的 IP 地址。

    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    DNAT 目标通过— to-destination 选项使目标 IP 地址更改为与指定的 IP 地址相匹配。路由器将封包转发到该地址;这是在做出路由决策之前使用链的原因。连接跟踪自动将响应发送回具有原始 IP 地址的原始源而不是新源。

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.254

DNAT 示例:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.0.250

# iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.0.200:3128 (重定向)

SNAT 示例:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (伪装)

# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.253

2.filter表  只允许sshd,dns,http,https,ftp服务

   vim /etc/vsftpd/vsftpd.conf 

      pasv_max_port=5000

      pasv_min_port=5000

    iptables -F 

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 953 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 5000 -j ACCEPT

    iptables -A INPUT -m state --state NEW -s 172.25.6.254 -p tcp --dport 1024:  -j ACCEPT

3.NAT表  内外网访问

    3.1实验环境：

        真机 172.25.254.6        (外网）

        虚拟机一    172.25.254.106/172.25.6.1

        虚拟机二    172.25.6.10      （内网）

    3.2内网访问外网

       3.2.1虚拟机一配置

[root@server106 ~]# vim /etc/sysctl.conf 

      net.ipv4.ip_forward = 1    #开通内核路由功能

[root@server106 ~]# sysctl -p

[root@server106 ~]# iptables -F

[root@server106 ~]#  iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106##添加内网到外网的策略

      3.2.2虚拟机二配置

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 

       GATEWAY=172.25.6.1

[root@localhost ~]# /etc/init.d/network restart

      3.2.3测试：虚拟机二可ping通254网段 172.25.254.6

[root@localhost ~]# ping 172.25.254.6   

PING 172.25.254.6 (172.25.254.6) 56(84) bytes of data.

64 bytes from 172.25.254.6: icmp_seq=1 ttl=64 time=0.102 ms

64 bytes from 172.25.254.6: icmp_seq=2 ttl=64 time=0.127 ms

64 bytes from 172.25.254.6: icmp_seq=3 ttl=64 time=0.164 ms

    3.3外网访问内网

       3.3.1虚拟机一配置

[root@server106 ~]# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106  ##添加外网内网的策略

       3.3.2虚拟机二    ### 添加测试页

[root@localhost ~]# vim /var/www/html/index.html 

    test page

[root@localhost ~]# /etc/init.d/httpd start

     3.3.3真机端测试

本文转自willis_sun 51CTO博客，原文链接：http://blog.51cto.com/willis/1854215，如需转载请自行联系原作者