一)SNAT源地址装换,俗称将私网地址转换成公网地址
Snat:source network address translation
意思是当多个Pc机客户端需要共享adsl路由上网时,每个pc机都配置了内网ip,当pc机访问互联网时,防火墙把pc机的源地址,给修改为外网的地址,当互联网收到请求的时候发现不是私网地址,而是公网地址。这就是Snat的作用。把私有地址转换成公网地址。
二)上图
三)环境搭建实现SNAT共享上网
客户端的网关--》防火墙的内网地址--》防火墙开转发
防火墙SNAT规则的操作:
iptables -t nat -I POSTROUTING -s 192.168.100.0/24 -j SNAT --to-source 172.16.100.20
开启转发:
sed -i ‘s/net.ipv4.ip_forward = 0/net.ipv4.ip_forward = 1/‘ /etc/sysctl.conf
sysctl -p
测试效果:
在客户端ping 172.16.100.10能ping通 。
去互联网机器上查看访问的ip地址是防火墙的外网地址。172网段的。
一)MASQUERADE 地址伪装和snat相似,当外网地址会经常变化的时候,使用地址伪装。不用经常改ip让服务器自己去寻找。
一)DNAT目的地址转换,意为把外网地址转换成私网地址。
DNAT是destination network address translation的缩写
当互联网上的用户来访问公司内网的服务器的时候,把公网的ip地址转换成公司的内网ip地址,当在服务器查看的时候发现是内网地址来访问的,这就是DNAT的作用。
| 互联网客户端 | 防火墙 | 内网服务器 |
| IP:172.168.100.2 | 外网:172.168.100.1 | IP:192.168.1.2 |
| GW:172.168.100.1 | 内网:192.168.1.1 | GW:192.168.1.1 |
开启:转发
iptables -t nat -I PREROUTING -d 172.168.100.1 -j DNAT --to-destination 192.168.1.2
测试ping通了。
本文出自 “落叶飘远方” 博客,请务必保留此出处http://shunzi.blog.51cto.com/8289655/1386739
iptables二之防火墙SNAT源地址转换,MASQUERADE地址伪装之DNAT目标地址转换讲解和实验演示,布布扣,bubuko.com
iptables二之防火墙SNAT源地址转换,MASQUERADE地址伪装之DNAT目标地址转换讲解和实验演示
原文:http://shunzi.blog.51cto.com/8289655/1386739
