NAT路由
一.问题描述 :
主机B充当路由使处在内网中的主机C能通过主机B访问外网
二.实验原理:
Nat(Network Address Translation、网络地址翻译)表中,也就是用以实现地址转换和端口转发功能的这个表,定义了PREROUTING, POSTROUTING,OUTPUT三个链:
NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外网服务器发出的数据包经过路由器时,原本是路由器上的公网 IP 地址被路由器改为内网 IP ;
如果内网主机访问外网而经过路由时,源 IP 会发生改变,这种变更行为就是 SNAT
当外网的数据经过路由发往内网主机时,数据包中的目的 IP (路由器上的公网 IP) 将修改为内网 IP,这种变更行为就是 DNAT ;
SNAT 和 DNAT所对应的两个链分别是 POSTROUTING和PREROUTING
POSTROUTING是源地址转换,要把你的内网地址转换成公网地址才能让你上网。
PREROUTING是目的地址转换,要把别人的公网IP换成你们内部的IP,才让访问到你们内部受防火墙保护的机器。
三.实验环境:
分类 | 主机B | 主机C |
IP | ens33:192.168.195.129 | ens33:192.168.232.129 |
ens37:192.168.232.133 | ||
GATEWAY(网关) | 192.168.195.2 | 192.168.232.132 |
DNS | 192.168.195.2 | 192.168.195.2 |
四. 实现NAT路由
1.开启主机B的路由转发功能(默认值0是禁止ip转发,修改为1即开启ip转发功能。)
[root@B~]#echo "1" > /proc/sys/net/ipv4/ip_forward
2.为主机C添加路由使其能够到达主机B,并修改DNS使其能对域名解析
[root@C ~]#route add -net 192.168.195.0/24 gw 192.168.232.129
[root@C ~]#vi /etc/resolv.conf #DNS的配置文件
nameserver 192.168.195.2
3.在主机B中添加iptables策略
[root@B~]#iptables -A FORWARD -j DROP
[root@B~]#iptables -t nat -A POSTROUTING -s 192.168.232.0/24 -j SNAT --to-source 192.168.195.129
[root@B~]#iptables -A FORWARD -s 192.168.232.0/24 -j ACCEPT
iptables -A FORWARD -j DROP
拒绝所有的转发
iptables -t nat -A POSTROUTING -s 192.168.232.0/24 -j SNAT --to-source 192.168.195.129
将192168.232.0/24段的所有都通过192.168.195.129向外发生
iptables -A FORWARD -s 192.168.232.0/24 -j ACCEPT
仅允许转发192.168.232.0/24段的报文
4.测试
[root@C ~] ping www.qq.com
PING www.qq.com (123.151.137.18) 56(84) bytes of data.
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=1 ttl=128 time=766 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=2 ttl=128 time=4112 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=7 ttl=128 time=31.5 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=8 ttl=128 time=31.0 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=9 ttl=128 time=32.3 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=10 ttl=128 time=32.7 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=11 ttl=128 time=32.2 ms
64 bytes from 123.151.137.18 (123.151.137.18): icmp_seq=12 ttl=128 time=34.1 ms
主机C能够访问外网证明此次实验成功