NAT

1.SNAT：讓內(nèi)網(wǎng)可以訪問外網(wǎng)

2.DNAT：讓外網(wǎng)可以訪問到內(nèi)網(wǎng)的機(jī)器

網(wǎng)關(guān)服務(wù)器，要開啟路由功能

內(nèi)核功能：

sysctl -a 列出所有參數(shù) 內(nèi)核參數(shù)，然后grep可以查看到默認(rèn)的內(nèi)核參數(shù)

內(nèi)核參數(shù)配置文件

/etc/sysctl.conf

sysctl -p #改完文件后重新生效

私網(wǎng)地址：

1.10.0.0.0 ~ 10.255.255.255

2.172.16.0.0 ~ 172.31.255.255

3.192.168.0.0 ~ 192.168.255.255

SNAT

SNAT策略概述 SNAT 應(yīng)用環(huán)境

局域網(wǎng)主機(jī)共享單個公網(wǎng)IP地址接入Internet （私有IP不能在Internet中正常路由

SNAT原理：

源地址轉(zhuǎn)換

修改數(shù)據(jù)包的源地址

SNAT轉(zhuǎn)換前提條件：

局域網(wǎng)各主機(jī)已正確設(shè)置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址

Linux網(wǎng)關(guān)開啟IP路由轉(zhuǎn)發(fā)

DNAT

DNAT原理與應(yīng)用: DNAT應(yīng)用環(huán)境:

在Internet中發(fā)布位于局域網(wǎng)內(nèi)的服務(wù)器

DNAT原理:

目的地址轉(zhuǎn)換，根據(jù)指定條件修改數(shù)據(jù)包的目的IP地址，保證了內(nèi)網(wǎng)服務(wù)器的安全，通常被叫做目的映謝。

DNAT轉(zhuǎn)換前提條件: 1.局域網(wǎng)的服務(wù)器能夠訪問Internet 2.網(wǎng)關(guān)的外網(wǎng)地址有正確的DNS解析記錄 3. Linux網(wǎng)關(guān)開啟IP路由轉(zhuǎn)發(fā)

實現(xiàn)SNAT和DNAT

準(zhǔn)備環(huán)境

首先準(zhǔn)備三臺虛擬機(jī)：網(wǎng)關(guān)服務(wù)器，內(nèi)網(wǎng)，外網(wǎng)

先下載httpd服務(wù)，全部開啟并關(guān)掉防火墻。

在網(wǎng)關(guān)服務(wù)器里增加一塊網(wǎng)卡

ens36，刪除UID，ip配置成12.0.0.1（外網(wǎng)地址）網(wǎng)關(guān)刪掉。

ens33，刪除DNS和網(wǎng)關(guān)，留ip和掩碼。（做完并重啟網(wǎng)卡）

內(nèi)網(wǎng)，將網(wǎng)卡網(wǎng)關(guān)改成網(wǎng)關(guān)服務(wù)器里的ip地址（重啟網(wǎng)卡）

外網(wǎng)，將ip地址改成外網(wǎng)地址12.0.0.11，網(wǎng)關(guān)指向網(wǎng)關(guān)服務(wù)器里的第二張網(wǎng)卡ip（重啟網(wǎng)卡）

SNAT

#先進(jìn)入服務(wù)器開啟路由轉(zhuǎn)發(fā)

sysctl -a?|grep "ip_forward"? ?復(fù)制net.ipv4.ip_forward = 0

vim /etc/sysctl.conf，復(fù)制后將0改為1

sysctl -p?

#先清空規(guī)則，并加入規(guī)則

? ?iptabless -t nat -A POSTROUTING -s 192.168.116.0/24 -o ens36 -j SNAT --to 12.0.0.1

#從內(nèi)網(wǎng)出去用postrouting

#-s 源地址段? ?從192.168.116.0/24這個地址段起始

#-o ens36? ? 從ens36這個網(wǎng)卡出去

#-j? SNAT? ? 跳轉(zhuǎn)到SNAT

#--to 12.0.0.1? ?最終目的到達(dá)12.0.0.1外網(wǎng)網(wǎng)關(guān)

#可以用iptables -vnL進(jìn)行查看規(guī)則是否生效

#到內(nèi)網(wǎng)上crul? 12.0.0.11（外網(wǎng)的ip地址）

#到外網(wǎng)查看實時日志 tail -f /var/log/httpd/access_log

DNET

#進(jìn)入服務(wù)器網(wǎng)關(guān)，配置規(guī)則：

iptebles -t nat -A PREROUTING? -i ens36 -p tcp --dort 80 -d 12.0.0.1 -j DNAT --to 192.168.116.20

#prerouitng? ? ? ? ? ?外網(wǎng)進(jìn)入內(nèi)網(wǎng)的在路由選擇前

#-p tcp? ?指定協(xié)議為tcp

#--dort 80? 指定tcp協(xié)議的80端口

#-d? 12.0.0.1? ?外網(wǎng)的網(wǎng)關(guān)為12.0.0.1

#--to? 192.168.116.20? ? 要到內(nèi)網(wǎng)機(jī)器ip為192.168.116.20上

#可以用iptables -vnL進(jìn)行查看規(guī)則是否生效

#到外網(wǎng)上crul? 12.0.0.1

#到內(nèi)網(wǎng)查看實時日志 tail -f /var/log/httpd/access_log