温馨提示:
在之前己经介绍过iptables的原理及其基本命令的注解与用法,下面将介绍NAT技术。
前言:
从根本上来说,NAT就是允许一台或者多台机器共享一个公网IP地址;第一种情况,以内网为例,把这些机器的默认网关设置为 NAT服务器后,这样所有的报文都会通过网关发送出去(SNAT),还有一种情况,如果我们内网有多个对外网的服务器,基于节约IP地址资源的考虑也可以使用的NAT技术,将内网中的多个服务器给外网用户提供服务(DNAT).
一、NAT之SNAT
NAT服务器能够改变报文的源和目的地址成另外一个不同的地址。NAT 服务器接收到一个报文,接着就改写它的源/目的地址,其次在重新计算这个报文的校验和。其中很重要的一个用途就是源地址NAT(SNAT),源地址NAT其实就是解决只有一个公网 IP,但是有多台计机器需要上网,这样我们就打开SNAT功能,这样内网中多台计算机就能够共享这一个公网IP 地址上网了。(如图,下图如引起您的各种不适,与本人无关)
注:另外一个 SNAT 就是伪装(Masquerade),它主要应用于动态地址分配的场合,对于MASQUERADE它会自动用出接口上面的地址作为报文新地址。
上图注解
| 源地址 | 192.168.1.20 |
| 目标地址 | www.essun.org |
| 规则 | #echo 1 >/proc/sys/net/ipv4/ip_forward(临时启用转发) #sysctl -p #iptables -t nat -I POSTROUTING -s 192.168.1.0/24 --dport 80 -j SNAT --to-source 202.106.32.132 |
注:
如果是动态获取公网IP,可使用(Masquerade)
#iptables -t nat -I POSTROUTING -s 192.168.1.0/24 --dport 80 -o eth1 -j MASQUERADE
二、NAT之DNAT
DNAT 在我们假设自己的服务器时候特别有用。首先它能够帮助我们节约 IP 地址(多台服务器共享一个IP),其次在 NAT 服务器和实际的服务器之间相当于增加了一个防护体系,增强了服务器的安全系数。例如一些公司可能对外网运行 web 和 ftp 服务器,他们可能在同一台机器上面,也有可能是物理上分开的机器,这样就可以借助DNAT,通过同一个IP提供上述的所有服务。(如图)
上图注解
| 目地地址 | 202.106.32.132 |
| 源地址 | 6.6.6.6 |
| 规则 | #echo 1 >/proc/sys/net/ipv4/ip_forward(临时启用转发) #sysctl -p #iptables -t nat -A PREROUTING -d 202.106.32.132 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.20:80 |
=======================================完=========================================
