内网 NAT服务器 外网
client(192.168.2.168)--->eth0(192.168.2.10)NAT Server(1.1.1.1)eth1 --> Web(1.1.1.100)
==SNAT,源地址转换
作用:让内网用户可以通过NAT服务器访问外网
1. iptables
# iptables -t nat -A POSTROUTING -j SNAT --to 1.1.1.1
# service iptables save
当内网的数据包到达POSTROUTING链时,修改数据的源地址1.1.1.1
2. 打开内核的路由转发机制
# sysctl -a |grep ip_forward
net.ipv4.ip_forward = 0
# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
# sysctl -p 立即生效
测试:所有内网将网关指定NAT服务器的内网地址:
# links -dump 1.1.1.100
welcome to china
3. 限制上网
# iptables -A FORWARD -s 192.168.2.168 -j REJECT //拒绝某个主机上网
===DNAT,目标地址转换
外网用户访问内网服务器(必须以SNAT为基础)
内网 NAT服务器 外网
client(192.168.2.168)<---eth0(192.168.2.10)NAT Server(1.1.1.1)eth1 <-- Web(1.1.1.100)
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.2.168
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.2.168:81
# iptables -t nat -nL
links -dump 1.1.1.1
links -dump www.uplooking.com(1.1.1.1)