SNAT策略及應用
應用環境:局域網主機共享單個公網IP地址接入Internet
原理:源地址轉換,Source Network Address Translation
修改數據包的源地址
SNAT策略概述:
(1)局域網共享上網
(2)只開啓路由轉發,未設置地址轉換的情況
(3)開啓路由轉發,並設置SNAT轉換的情況
SNAT策略的應用
前提條件:
局域網各主機正確設置IP地址/子網掩碼
局域網各主機正確設置默認網關地址
Linux網關支持IP路由轉發
步驟:
(1)打開網關的路由轉發
在測試過程中,若只希望臨時開啓路由轉發,也可以執行以下操作:
或者
(2)正確設置SNAT策略
共享動態IP地址上網
在某些情況下,網關的外網IP地址可能並不固定,針對這種需求,iptables命令提供了一個名爲MASQUERADE(僞裝)的數據包控制類型。
DNAT策略及應用
應用環境:在Internet中發佈位於企業局域網內的服務器
原理:目標地址轉換,Destination Network Address Translation
修改數據包的目標地址
DNAT策略概述
在internet中發佈內網服務器
進行DNAT轉換後的情況
DNAT策略的應用
前提條件:
局域網的web服務器能夠訪問Internet
網關的外網IP地址有正確的DNS解析記錄
Linux網關支持IP路由轉發
步驟:
(1)打開網關的路由轉發
同上述所說
(2)正確設置DNAT策略
發佈時修改目標端口
規則的備份
iptables-save工具
可結合重定向輸出保存到指定文件
規則的還原
iptables-restore工具
可結合重定向輸入指定規則來源
使用iptables服務
腳本位置:/etc/init.d/iptables
規則配置文件位置:/etc/sysconfig/iptables
保存防火牆規則到配置文件
設置開機自啓動
使用service命令控制iptables規則
