規劃網絡如圖
1,給各網卡配置ip,並設置nat上eth0爲lan的網關,nat的eth1爲web的網關(這個無所謂,不配也行)。
此時你在lan上應該能ping通192.168.2.2,但可能無法ping通10.206.37.2,這個是因爲內核默認未開啓ip_forward
2,nat的系統默認沒有開啓ip_forward轉發功能,大家肯定都看過無數次了。開啓
echo 1 > /proc/sys/net/ipv4/ip_forward
大家之前看的教程,到這裏應該已經能在lan上ping通10.206.37.3了,可是我們發現還不行。這是爲什麼呢。
3,檢查一下filter的默認配置。
iptables -t filter -L --line-number
會發現,filter表的FORWARD鏈裏有一條REJECT,就是這條規則導致了無法ping通。
iptables -t filter -D FORWARD 1
現在再試試,lan應該能ping通web了。
4,我們還沒開始進入正題呢。下面在nat上執行下面這行,
iptables -t nat POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source 10.206.37.2
現在測試下,可以了吧。