学习centos第十六天---主机防火墙路由

一、SNAT（源地址）转换

 

 

下面两图表示未作SNAT和做了SNAT的情况

 

 

SNAT的配置和前提条件：

 

打开IPV4 的转发功能

 

 

把net.IPV4.ip_forward 改成1，表示开启IPV4转发

 

使配置生效。

 

在某些情况下，网关的外网IP地址可能并不是固定的，例如使用ADSL宽带接入时。那么在这种网络环境下，应该如何设置SNAT策略呢？针对这种需求，iptables提供了一个名为MASQUERADE（伪装）的数据包控制类型，MASQUERADE 相当于SNAT的一个特例，同样用来修改（伪装）数据包源IP地址，只不过它能够自动获取外网接口的IP地址，而无需使用 ' —to-source ' 指定固定的IP地址。

 

SNAT实验：

实现内容：准备两台虚拟机，一台centos1 一台centos2，centos1两张网卡，一张桥接到本机，一张为vmnet12，centos 2的网卡也设置成vmnet12 ，假设vmnet12 设公网，桥接的网络是内网；假设内网是192.168.8.0/24网段，公网是192.168.40.0/24，我们要在真实机访问centos2的httpd服务

 

(注意清空filter表，因为SNAT和DNAT走forward，直接拒绝额）

第一步：配置centos1 的两张网卡：eth0和eht1，和centos2的网卡

 

 

cnetos1 双网卡设置

 

 

 

centos 2 的网卡配置

 

 

第二步：开启IPV4 数据包转发

 

 修改vim  /etc/sysctl.conf 文件  把net.IPV4.ip_forward 改成1

 

设置重启后配置任然生效

 

第三步：开启cnetos 1的防火墙，查看nat表，配置SNAT策略（注意清空filter表，因为转发默认是拦截的）：

 

清空filter 表

 

查看 nat 表的配置

 

配置SNAT

 

 

第四步查看是否成功：

实体机访问httpd服务器成功

 

实体机ping  httpd服务器

 

2.目的地址转换（DNAT）

当内部需要提供对外服务时(如对外发布web网站)，外部地址发起主动连接，由路由器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做地址转换，此转换称为DNAT，主要用于内部服务对外发布。

 

DNAT实验：

实现内容：准备两台虚拟机，一台centos1 一台centos2，centos1两张网卡，一张桥接到本机，一张为vmnet12，centos 2的网卡也设置成vmnet12 ，假设vmnet12设内网，桥接的网络是公网；假设公网是192.168.8.0/24网段，内网是192.168.40.0/24，我们要在公网访问内网的服务器

 

(注意清空filter表，因为SNAT和DNAT走forward，直接拒绝额）

第一步：配置centos1 的两张网卡：eth0和eht1，和centos2的网卡

 

cnet0s1 双网卡设置

 

 

 

centos 2 的网卡配置

 

 

 

 

 

 

 

第二步：开启IPV4 数据包转发

 

 修改vim  /etc/sysctl.conf 文件  把net.IPV4.ip_forward 改成1

 

设置重启后配置任然生效

 

 

 

第三步：开启cnetos 1的防火墙，查看nat表，配置SNAT策略（注意清空filter表，因为转发默认是拦截的）：

 

清空filter 表

 

查看 nat 表的配置

 

配置DNAT

 

SNAT+DNAT注意事项：

·SNAT策略只能用在nat表的POSTROUTING链；

·SNAT将内部地址的私有IP转换为公网的公有IP；

·SNAT用于内部共享IP访问外部。

·DNAT策略只能用在nat表的PREROUTING链;

·DNAT主要用于内部服务对外发布；

一张图让你理解DNAT和SNAT

 

3.防火墙规则备份

 

 

4.防火墙还原

iptables-restore   <  /iptables.txt