Linux目的NAT地址转换配置
实验准备:
- 客户端、网关、web服务器
- 网关需要配置为双网卡
- 目的:让内网的web服务器通过配置DNAT后可以被外网的用户访问。
一、初始化配置
确保客户端与Web服务器都能与网关连通
1)配置网关服务器
- 为网关添加双网卡
- 配置内外网IP信息
#外网网卡
[root@NAT-SERVER ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=ens33
UUID=14684afe-660a-4ba0-8aa6-c0a594e3ca2d
DEVICE=ens33
ONBOOT=yes
IPADDR=100.100.1.254
NETMASK=255.255.255.0
#内网网卡
[root@NAT-SERVER ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
NAME=ens160
DEVICE=ens160
ONBOOT=yes
IPADDR=192.168.3.254
NETMASK=255.255.255.0
- 开启路由转发功能
echo "net.ipv4.ip_forward = 1" >>/etc/sysctl.conf
sysctl -p
2)配置外网客户端
[root@client ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=default
NAME=ens160
UUID=73457178-299a-4c31-ae33-2f809a1efb3d
DEVICE=ens160
ONBOOT=yes
IPADDR=100.100.1.10
PREFIX=24
GATEWAY=100.100.1.254
- 测试与网关的连通性
3)内网web服务器配置
- 安装Apache服务后配置一个静态网页便于测试
- 首先挂载iso镜像,配置本地yum源
mount -t iso9660 /dev/cdrom /mnt/cdrom
- 创建一个repo文件,写入以下内容
[baseos]
name=BaseOS
baseurl=file:///mnt/cdrom/BaseOS #将这里的地址更换为你自己的挂载地址
enabled=1
[appstream]
name=AppStream
baseurl=file:///mnt/cdrom/AppStream #将这里的地址更换为你自己的挂载地址
enabled=1
- 安装Apache服务
#清除yum缓存
yum clean all && yum makecache
#安装Apache服务
yum install httpd -y
- 写入网页测试文件,启动Apache服务
echo "这是内网web服务器" > /var/www/html/index.html
#启动Apache服务
systemctl start httpd && systemctl enable httpd
#访问测试
curl localhost
- 测试与网关的连通性
4)配置iptables策略
- 测试未在网关上配置策略前,外网客户端与内网web服务器的通讯情况
- 未配置策略前,无法访问到内网的web服务器
- 在网关设备上配置DNAT
#当入站网卡为ens33时,并且访问的目标地址和端口是100.100.1.254:80时,则在收到请求时将目标地址改写为192.168.3.10的内网服务器
iptables -t nat -A PREROUTING -i ens33 -d 100.100.1.254 -j DNAT --to 192.168.3.10
- 再次测试外网客户端访问内网的web服务器
#在内网web服务器上抓取访问80端口的信息
tcpdump -i ens160 -nnvv tcp port 80
- 可以看到访问的信息中只有转换后的地址信息