iptables防火墻的SNAT和DNAT

一、SNAT源地址轉(zhuǎn)換。

1、原理：在路由器后（PSOTROUTING）將內(nèi)網(wǎng)的ip地址修改為外網(wǎng)網(wǎng)卡的ip地址。

2、應(yīng)用場景：共享內(nèi)部主機(jī)上網(wǎng)。

3、設(shè)置SNAT：網(wǎng)關(guān)主機(jī)進(jìn)行設(shè)置。

 （1）設(shè)置ip地址等基本信息。

 （2）開啟路由功能：

 sed -i '/ip-forward/s/0/1/g'

 sysctl -p 

 （3）編寫規(guī)則：

 iptables -t nat -I POSTROUTING -o 外網(wǎng)網(wǎng)卡 -s 內(nèi)網(wǎng)網(wǎng)段 -j SNAT --to-source 外網(wǎng)ip地址  ##適用于外網(wǎng)ip地址固定場景

 iptables -t nat -I POSTROUTING -o 外網(wǎng)網(wǎng)卡 -s 內(nèi)網(wǎng)網(wǎng)段 -j MASQUERADE  ##適用于共享動態(tài)ip地址上網(wǎng)（如adsl撥號，dhcp獲取外網(wǎng)ip）

（4）做好安全控制：使用FORWARD時機(jī)進(jìn)行控制，嚴(yán)格設(shè)置INPUT規(guī)則。

二、DNAT目的地址轉(zhuǎn)換：

1、原理：在路由前（PREROUTING）將來自外網(wǎng)訪問網(wǎng)關(guān)公網(wǎng)ip及對應(yīng)端口的目的ip及端口修改為內(nèi)部服務(wù)器的ip及端口，實(shí)現(xiàn)發(fā)布內(nèi)部服務(wù)器。

2、應(yīng)用場景：發(fā)布內(nèi)部主機(jī)服務(wù)。

3、設(shè)置DNAT：網(wǎng)關(guān)主機(jī)上設(shè)置。

（1）設(shè)置ip、開啟路由、設(shè)置SNAT

（2）編寫防火墻規(guī)則：

iptables -t nat -I PREROUTING -i 外網(wǎng)網(wǎng)卡 -d 外網(wǎng)ip tcp --dport 發(fā)布的端口 -j DNAT --to-destination 內(nèi)網(wǎng)服務(wù)ip:端口