iptables实现NAT路由

NAT路由

一.问题描述 :

主机B充当路由使处在内网中的主机C能通过主机B访问外网

二.实验原理:

Nat(Network Address Translation、网络地址翻译)表中,也就是用以实现地址转换和端口转发功能的这个表,定义了PREROUTING, POSTROUTING,OUTPUT三个链:

NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外网服务器发出的数据包经过路由器时,原本是路由器上的公网 IP 地址被路由器改为内网 IP ;
如果内网主机访问外网而经过路由时,源 IP 会发生改变,这种变更行为就是 SNAT
当外网的数据经过路由发往内网主机时,数据包中的目的 IP (路由器上的公网 IP) 将修改为内网 IP,这种变更行为就是 DNAT ;
SNAT 和 DNAT所对应的两个链分别是 POSTROUTING和PREROUTING
POSTROUTING是源地址转换,要把你的内网地址转换成公网地址才能让你上网。
PREROUTING是目的地址转换,要把别人的公网IP换成你们内部的IP,才让访问到你们内部受防火墙保护的机器。

三.实验环境:

iptables实现NAT路由_第1张图片

分类 主机B 主机C
IP ens33:192.168.195.129 ens33:192.168.232.129
ens37:192.168.232.133
GATEWAY(网关) 192.168.195.2 192.168.232.132
DNS 192.168.195.2 192.168.195.2

四. 实现NAT路由

1.开启主机B的路由转发功能(默认值0是禁止ip转发,修改为1即开启ip转发功能。)

[root@B~]#echo "1" > /proc/sys/net/ipv4/ip_forward

2.为主机C添加路由使其能够到达主机B,并修改DNS使其能对域名解析

[root@C ~]#route add  -net  192.168.195.0/24  gw  192.168.232.129
[root@C ~]#vi /etc/resolv.conf    				#DNS的配置文件
nameserver  192.168.195.2

3.在主机B中添加iptables策略

[root@B~]#iptables -A FORWARD -j DROP
[root@B~]#iptables -t nat -A POSTROUTING -s 192.168.232.0/24 -j SNAT --to-source 192.168.195.129
[root@B~]#iptables -A FORWARD -s 192.168.232.0/24 -j ACCEPT

iptables -A FORWARD -j DROP
拒绝所有的转发

iptables -t nat -A POSTROUTING -s 192.168.232.0/24 -j SNAT --to-source 192.168.195.129
将192168.232.0/24段的所有都通过192.168.195.129向外发生

iptables -A FORWARD -s 192.168.232.0/24 -j ACCEPT
仅允许转发192.168.232.0/24段的报文

4.测试

[root@C ~] ping www.qq.com
PING www.qq.com (123.151.137.18) 56(84) bytes of data.
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=1 ttl=128 time=766 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=2 ttl=128 time=4112 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=7 ttl=128 time=31.5 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=8 ttl=128 time=31.0 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=9 ttl=128 time=32.3 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=10 ttl=128 time=32.7 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=11 ttl=128 time=32.2 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=12 ttl=128 time=34.1 ms

主机C能够访问外网证明此次实验成功

你可能感兴趣的:(iptables实现NAT路由)