首先開(kāi)啟路由轉(zhuǎn)發(fā)功能：

# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

# sysctl -p

（1）SNAT：內(nèi)網(wǎng)主機(jī) --訪問(wèn)--> 外網(wǎng)服務(wù)器

<1> 搭建模擬環(huán)境

內(nèi)網(wǎng)PC1：172.16.0.1/16（Host-Only）

網(wǎng)關(guān)PC2：192.168.1.8/24（橋接），172.16.0.8/16（Host-Only）

外網(wǎng)PC3：192.168.1.11/24（橋接）

<2> 設(shè)置源地址轉(zhuǎn)換規(guī)則

PC2：iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -j SNAT --to-source 192.168.1.8

<3> 添加防火墻過(guò)濾規(guī)則（僅允許ping和訪問(wèn)httpd、ftp服務(wù)）

PC2：

iptables -P FORWARD DROP

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 172.16.0.0/16 -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT

iptables -A FORWARD -s 172.16.0.0/16 -p tcp --dport 80 -m state --state NEW -j ACCEPT

iptables -A FORWARD -s 172.16.0.0/16 -p tcp --dport 21 ?-m state --state NEW -j ACCEPT

注意：裝載ip_conntrack_ftp和ip_nat_ftp模塊

# vim /etc/sysconfig/iptables-config

IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"

<4> 測(cè)試并抓包分析

PC1：ping 192.168.1.11

PC3：tcpdump -i eth0 -nn -X icmp

（2）DNAT：外網(wǎng)主機(jī) --訪問(wèn)--> 內(nèi)網(wǎng)服務(wù)器

<1> 搭建模擬環(huán)境

外網(wǎng)PC1：192.168.1.13/24（橋接）

網(wǎng)關(guān)PC2：192.168.1.8/24（橋接），172.16.0.8/16（Host-Only）

內(nèi)網(wǎng)PC3：172.16.0.1/16（Host-Only）

<2> 設(shè)置目標(biāo)地址轉(zhuǎn)換規(guī)則并測(cè)試

PC2：iptables -t nat -A PREROUTING -d 192.168.1.8 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.1

PC1：訪問(wèn)http://192.168.1.8

<3> 設(shè)置目標(biāo)地址端口轉(zhuǎn)換規(guī)則并測(cè)試

PC2：iptables -t nat -A PREROUTING 1 -d 192.168.1.8 -p tcp --dport 80 -j DNAT --to-destination 172.16.0.1:8080

PC1：訪問(wèn)http://192.168.1.8

<4> 添加防火墻過(guò)濾規(guī)則（基于字符串過(guò)濾）并測(cè)試

iptables -A FORWARD -m string --algo kmp --string "h7n9" -j DROP

PC1：訪問(wèn)http://192.168.1.8

轉(zhuǎn)載于:https://blog.51cto.com/phenixikki/1290273

總結(jié)

以上是生活随笔為你收集整理的iptables的SNAT和DNAT应用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。