服務器的snat和dnat
實驗目的:2臺服務器,一臺公網、另一臺內網,2臺服務器之間組內網。實現內網服務器出公網(snat),通過公網端口映射到內網服務器相應端口(dnat)。
實驗環境:
一、Windows篇(使用的windows server 2008R2系統)
1、安裝相關服務
2、配置路由和遠程訪問
右鍵 點擊配置並啓用路由和遠程訪問,操作前請關閉2臺服務器的系統防火牆。
3、配置內網服務器
這是公網服務器網卡配置:
至此windows的snat配置完成
4、配置dnat
在公網服務器上,右鍵公網網卡屬性
5、測試dnat
二、Linux篇
1、2臺linux服務器,一臺有公網和內網,一臺是純內網,2臺服務器之間組內網。
2、在公網服務器上配置SNAT
打開公網服務器上的路由轉發功能,sysctl -p使之生效。
3、開啓iptables,並設置相關規則
iptables -t nat -A POSTROUTING -s 2.2.2.0/8 -j SNAT --to 10.57.82.58
重啓iptables
4、配置內網服務器網卡
5、測試
6、配置DNAT
iptables -I INPUT -p tcp --dport 1234 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 10.57.82.58 -p tcp --dport 1234 -j DNAT --to-destination 2.2.2.2:22
7、測試dnat
8、總結
MASQUERADE 地址僞裝
適用於外網ip地址不固定的情況,將SNAT規則改爲MASQUERADE即可。
如果是固定的公網ip,建議選擇SNAT策略而不是MASQUERADE策略,以減少不必要的系統開銷。