NAT DHCP WWW rc.local

/*****   外网访问内网的主机，可以在内网主机搭建WWW服务器让外网访问；内网主机既可以动态获取IP访问外网，也可以手动设置IP访问外网！

一，搭建NAT服务器实现内网与外网相互访问；

二，搭建DHCP服务器便于对内网主机网络参数的管理；

三，在内网主机上搭建WWW服务器（这里是在"192.168.1.80"主机上）；

以下是具体实现过程：

（eth1为外网接口，etho为内网接口）   *****/

/*****   在/bin下新建nat.sh，内容如下：   *****/

/*****   nat.sh   *****/

#!/bin/bash

echo 1 > /proc/sys/net/ipv4/ip_forward

#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#INET_IF="ppp0"

INET_IF="eth1"

LAN_IF="eth0"

INET_IP="218.198.18.56"    #（根据具体网络环境设定）

WWW_IP="192.168.1.80"    #（搭建www服务器的内网主机）

LAN_IP_RANGE="192.168.1.0/24"

IPT="/sbin/iptables"

TC="/sbin/tc"

MODPROBE="/sbin/modprobe"

$MODPROBE ip_tables

$MODPROBE iptable_nat

$MODPROBE ip_nat_ftp

$MODPROBE ip_nat_irc

$MODPROBE ipt_mark

$MODPROBE ip_conntrack

$MODPROBE ip_conntrack_ftp

$MODPROBE ip_conntrack_irc

$MODPROBE ipt_MASQUERADE

for TABLE in filter nat mangle ; do

$IPT -t $TABLE -F

$IPT -t $TABLE -X

$IPT -t $TABLE -Z

done

$IPT -P INPUT ACCEPT

$IPT -P OUTPUT ACCEPT

$IPT -P FORWARD ACCEPT

$IPT -t nat -P PREROUTING ACCEPT

$IPT -t nat -P OUTPUT ACCEPT

$IPT -t nat -P POSTROUTING ACCEPT

# 拒绝INTERNET客户访问

$IPT -A INPUT -i $INET_IF -m state --state RELATED,ESTABLISHED -j ACCEPT

#$IPT -A INPUT -i $INET_IF -p tcp -s 123.5.0.0/16 --dport 22 -j ACCEPT

#$IPT -A INPUT -i $INET_IF -p tcp --dport 80 -j ACCEPT

$IPT -A INPUT -i $LAN_IF -p udp --dport 67 -j ACCEPT

$IPT -A INPUT -i $INET_IF -m state --state NEW,INVALID -j DROP

for DNS in $(grep ^n /etc/resolv.conf|awk '{print $2}'); do

$IPT -A INPUT -p tcp -s $DNS --sport domain -j ACCEPT

$IPT -A INPUT -p udp -s $DNS --sport domain -j ACCEPT

done

# anti bad scaning

$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP

$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL ALL -j DROP

$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP

$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags ALL NONE -j DROP

$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags SYN,RST SYN,RST -j DROP

$IPT -A INPUT -i $INET_IF -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP

$IPT -t nat -A PREROUTING -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $WWW_IP:80

#(以上这条规则很重要，实现外网通过80端口访问内网WWW服务器）

if [ $INET_IF = "ppp0" ] ; then

$IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_IP_RANGE -j MASQUERADE

else

$IPT -t nat -A POSTROUTING -o $INET_IF -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

fi

/*****   nat服务器搭建完毕！把/bin/nat.sh添加到rc.local中实现开机启动！   *****/

/*****   接着搭建dhcp服务器让内网主机自动获取ip，修改dhcpd.conf，内容如下：   *****/

/*****   /etc/dhcpd.conf   *****/

ddns-update-style interim;

ignore client-updates;

subnet 192.168.1.0 netmask 255.255.255.0 {

# --- default gateway

    option routers            192.168.1.254;#(内网网关)

    option subnet-mask        255.255.255.0;

#    option nis-domain        "domain.org";

#    option domain-name        "domain.org";

    option domain-name-servers    211.84.160.8, 202.102.224.68;

                #(域名服务器，根据具体网络环境设定）

    option time-offset        -18000;    # Eastern Standard Time

#    option ntp-servers        192.168.1.1;

#    option netbios-name-servers    192.168.1.1;

# --- Selects point-to-point node (default is hybrid). Don't change this unless

# -- you understand Netbios very well

#    option netbios-node-type 2;

    range dynamic-bootp 192.168.1.100 192.168.1.200;#(预动态分配的内网IP范围)

    default-lease-time 21600;

    max-lease-time 43200;

    # we want the nameserver to appear at a fixed address

#    host ns {

#        next-server marvin.redhat.com;

#        hardware ethernet 12:34:56:78:AB:CD;

#        fixed-address 207.175.42.254;

#    }

}

重启DHCP服务器！看是否成功！若不成功，说明配置文件有误！

剩下的工作就是在内部主机上搭建WWW服务器，注：WWW服务器在这里是192.168.1.80这台主机！

注：本内容的编写者主要是2009级 嵌入式方向学生：王晓峰、闫俊霖、王延龙等。