1.概念

目前創新互聯公司已為近千家的企業提供了網站建設、域名、虛擬主機、網站托管、服務器租用、企業網站設計、福州網站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協力一起成長，共同發展。

    網絡地址轉換用于控制網絡封包的表面源或所需目標地址。

    基于主機的簡單防火墻只具有 INPUT 鏈中的規則,以 ACCEPT 或 REJECT 封包,但是在專用(不可路由)網絡的網關或路由器上,通常使用 PREROUTING 和 POSTROUTING 鏈修改封包。nat 表使用三條鏈: PREROUTING 、 OUTPUT 和 POSTROUTING 。當路由器修改通過其的網絡通信的源或目標 IP 地址或端口時,進行網絡地址轉換。它用于映射使用單個 IP 地址的計算機網絡,以使其可以共享單個公共地址并隱藏其內部網絡( MASQUERADE 或 SNAT )。它還用于將發送到一個 IP 地址的通信重定向到另一個 IP 地址。此目標 NAT 用于端口轉發(通過防火墻外部的端口至防火墻內部的服務)并用于透明地重定向至代理服務。

    MASQUERADE 目標使源 IP 地址更改為與開啟防火墻的接口的 IP 相匹配。目標將響應發送回該接口的 IP地址。連接跟蹤自動將返回通信轉換為匹配的內部 IP 地址和端口(基于連接兩端的 IP 地址和端口進行跟蹤)。 SNAT 目標通過選項 --to-source 使源 IP 地址更改為指定的 IP 地址。

    # iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

    DNAT 目標通過— to-destination 選項使目標 IP 地址更改為與指定的 IP 地址相匹配。路由器將封包轉發到該地址;這是在做出路由決策之前使用鏈的原因。連接跟蹤自動將響應發送回具有原始 IP 地址的原始源而不是新源。

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.254

DNAT 示例:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.0.250

# iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.0.200:3128 (重定向)

SNAT 示例:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (偽裝)

# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.253

2.filter表  只允許sshd,DNS,http,https,ftp服務

   vim /etc/vsftpd/vsftpd.conf 

      pasv_max_port=5000

      pasv_min_port=5000

 

    iptables -F 

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 953 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 5000 -j ACCEPT

    iptables -A INPUT -m state --state NEW -s 172.25.6.254 -p tcp --dport 1024:  -j ACCEPT

3.NAT表  內外網訪問

    3.1實驗環境：

        真機 172.25.254.6        (外網）

        虛擬機一    172.25.254.106/172.25.6.1

        虛擬機二    172.25.6.10      （內網）

    3.2內網訪問外網

       3.2.1虛擬機一配置

[root@server106 ~]# vim /etc/sysctl.conf 

      net.ipv4.ip_forward = 1    #開通內核路由功能

[root@server106 ~]# sysctl -p

[root@server106 ~]# iptables -F

[root@server106 ~]#  iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 172.25.254.106##添加內網到外網的策略

      3.2.2虛擬機二配置

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 

       GATEWAY=172.25.6.1

[root@localhost ~]# /etc/init.d/network restart

      3.2.3測試：虛擬機二可ping通254網段 172.25.254.6

[root@localhost ~]# ping 172.25.254.6   

PING 172.25.254.6 (172.25.254.6) 56(84) bytes of data.

64 bytes from 172.25.254.6: icmp_seq=1 ttl=64 time=0.102 ms

64 bytes from 172.25.254.6: icmp_seq=2 ttl=64 time=0.127 ms

64 bytes from 172.25.254.6: icmp_seq=3 ttl=64 time=0.164 ms

    3.3外網訪問內網

       3.3.1虛擬機一配置

[root@server106 ~]# iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 172.25.254.106 ##添加外網內網的策略

       3.3.2虛擬機二    ### 添加測試頁

[root@localhost ~]# vim /var/www/html/index.html 

    test page

[root@localhost ~]# /etc/init.d/httpd start

     3.3.3真機端測試

---

---

本文標題：網絡地址轉換實驗
轉載來源：http://vcdvsql.cn/article20/pcdoco.html

成都網站建設公司_創新互聯，為您提供品牌網站制作、做網站、品牌網站建設、App開發、用戶體驗、虛擬主機

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯