內網 NAT服務器 外網
client(192.168.2.168)--->eth0(192.168.2.10)NAT Server(1.1.1.1)eth1 --> Web(1.1.1.100)
==SNAT,源地址轉換
作用:讓內網用戶可以通過NAT服務器訪問外網
1. iptables
# iptables -t nat -A POSTROUTING -j SNAT --to 1.1.1.1
# service iptables save
當內網的數據包到達POSTROUTING鏈時,修改數據的源地址1.1.1.1
2. 打開內核的路由轉發機制
# sysctl -a |grep ip_forward
net.ipv4.ip_forward = 0
# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
# sysctl -p 立即生效
測試:所有內網將網關指定NAT服務器的內網地址:
# links -dump 1.1.1.100
welcome to china
3. 限制上網
# iptables -A FORWARD -s 192.168.2.168 -j REJECT //拒絕某個主機上網
===DNAT,目標地址轉換
外網用戶訪問內網服務器(必須以SNAT爲基礎)
內網 NAT服務器 外網
client(192.168.2.168)<---eth0(192.168.2.10)NAT Server(1.1.1.1)eth1 <-- Web(1.1.1.100)
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.2.168
# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 192.168.2.168:81
# iptables -t nat -nL
links -dump 1.1.1.1
links -dump www.uplooking.com(1.1.1.1)