两张图看懂iptables之NAT

私网内的主机访问公网网络，通常有两种方式：

1、通过代理的方式（proxy），如nginx、f5等软硬件等形式，主要在应用层实现；

2、通过网络地址转换（nat）的方式，此方式可在应用层、传输层进行，主要特点为安全，也是本次实验的，nat分为DNAT和SNAT。

一、DNAT：目的地址转换。当外网主机访问内网的某台服务器的时候，如果直接暴露服务器的IP于公网，可能会遭受各种各样的攻击，而DNAT的主要作用就是在服务器前面添加一台防火墙。将防火墙的地址公布出去，让外网客户端通过访问防火墙的地址就可以访问到本地服务器。这样就起到了保护服务器的目的；

在nat server添加如下防火墙规则即可实现DNAT功能：

iptables -t nat -A -PREROUTING -d 192.168.33.83 -p tcp --dport 80 -j DNAT --to-destination 172.16.10.1

测试：在外网机器A执行curl http://192.168.33.83。看到可以返回172.16.10.1的web页面内容。（确保172.16.10.1开启httpd服务）

二、SNAT：源地址转换。内网主机在访问互联网的时候所有源地址都转换为防火墙的外网地址，起到隐藏内网客户机的目的。同时，也解决了IPV4公网地址不够用的需求。

在nat server添加如下防火墙规则即可实现SNAT功能：

iptables -t nat  -A POSTROUTING -s 172.16.10.1 -j SNAT --to-source 192.168.33.83

测试：在内网机器C执行ping 192.168.33.81 或者curl http://192.168.33.81。可以在A的httpd日志中看到的请求地址为192.168.33.83，而不是172.16.10.1。（确保192.168.33.81开启httpd服务）

实验注意：需要在B机器打开网络转发功能（cd /proc/sys/net/）：

sysctl -w net.ipv4.ip_forward=1