Linux防火墙学习笔记13

NDAT 目标地址转换（端口映射）案例：

案例1： 实现局域网内发布服务器：

网络连接拓扑：

win系统使用vmware workstation实现DNAT实验拓扑：

服务器在内网里，客户端在外网里。

iptables实现DNAT：

第1台服务器作为局域网的网站；第2台作为防火墙；第3台作为客户端主机；

yum install -y httpd
echo "dnat test" >> /var/www/html/index.html

systemctl start httpd

curl http://localhost

外网客户端主机是访问防火墙上的外网端接口，由防火墙再去访问内网服务器。外网的网管。

DNAT配置：

iptables -t nat -nL

iptables -t nat -A PREROUTING -d 192.168.3.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2

Chain PREROUTING (policy ACCEPT）

DNAT  tcp -- 0.0.0.0/0   192.168.3.1    tcp dpt:80 to: 192.168.1.2

不能让互联网用户访问到内网的数据库的服务器。

我们可以看到直接访问192.168.3.1这个，通过ss -atunlp | grep ":80"没有看到开启80端口。但是我们可以访问到httpd的网站。

通过wireshark可以看到将Destination目的地址进行了更换。

案例2：让外部主机可以访问KVM虚拟机（内网主机）PREROUTING路由之前：

云主机在内网里，为了让公网能够访问到这个云主机的服务器，那么就需要在防火墙中做一个DNAT。

VPC

添加端口转发规则：也是属于DNAT

名称、协议、源端口、内网IP、内网端口。

还要修改下云平台的防火墙。下行规则等。