【51CTO独家特稿】本文将介绍一个使用iptables实现NAT转发功能的案例。
本文假设读者已经对NAT的原理和基本用法有所了解。如不确定,可参考以下文章:
本文案例中,我们假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是私网IP,通过该私网IP用户无法向外发布信息。但是,部分用户要求建立自己的WWW服务器对外发布信息。
我们可以在防火墙的外部网卡上绑定多个合法IP地址,然后通过ip映射使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
具体的IP分配如下:
(1)该ISP分配给A单位www服务器的IP为:
私网ip:172.168.92.100
公网ip:210.95.33.100
(2)该ISP分配给B单位www服务器的IP为:
私网ip:172.168.92.200
公网ip:210.95.33.200
(3)Linux防火墙的IP地址分别为:
内网接口eth1:172.168.92.10
外网接口eth0:210.95.33.1
然后,我们需要进行如下步骤地操作:
(1)将分配给A、B单位的真实ip绑定到防火墙的外网接口,以root权限执行以下命令:
#ifconfig eth0 add 210.95.33.100 netmask 255.255.255.0 #ifconfig eth0 add 210.95.33.200 netmask 255.255.255.0
(2)成功升级内核后安装iptables,然后执行以下脚本载入相关模块:
modprobe ip_tables modprobe ip_nat_ftp
(3)对防火墙接收到的目的ip为210.95.33.100和210.95.33.200的所有数据包进行目的NAT(DNAT):
#iptables -A PREROUTING -i eth0 -d 210.95.33.100 -j DNAT --to 172.168.92.100 #iptables -A PREROUTING -i eth0 -d 210.95.33.200 -j DNAT --to 172.168.92.200
(4)对防火墙接收到的源ip地址为172.168.92.100和172.168.92.200的数据包进行源NAT(SNAT):
#iptables -A POSTROUTING -o eth0 -s 172.168.92.100 -j SNAT --to 210.95.33.100 #iptables -A POSTROUTING -o eth0 -s 172.168.92.200 -j SNAT --to 210.95.33.200
这样,所有目的ip为210.95.33.100和210.95.33.200的数据包都将分别被转发给172.168.92.100和172.168.92.200;而所有来自172.168.92.100和172.168.92.200的数据包都将分别被伪装成由210.95.33.100和210.95.33.200,从而也就实现了ip映射。
【编辑推荐】