使用Linux的SNAT、DNAT策略实现网关应用.docVIP

使用Linux的SNAT、DNAT策略实现网关应用 实验环境： 需求描述 网关主机使用两个网卡 eth0接口（/24）连接外网 eth1接口（54/24）连接内网 配置SNAT策略实现共享上网 从/24网段可以访问Internet的所有应用 配置DNAT策略发布内网中的服务器 从外网访问时，能够查看到位于00主机中的Web页面文件 禁止其他未经明确许可的数据包访问 整理上述规则，编写为防火墙脚本文件 实现思路 正确配置各主机的IP地址、默认网关地址等参数 在内、外网测试机中均开启Web服务，以便验证效果 在网关主机中正确设置SNAT、DNAT策略 确认防火墙策略运行正常 实现步骤： 1.正确配置网络环境 外网： 网关： 外网： 2.实现内网访问外网http服务包括ping 首先在在网管开启路由转发功能 编写iptables的SNAT的脚本策略 执行脚本策略 在内网用IP地址访问外网web服务器 实现在内网ping通外网 在外网web服务器查看公共日志 3.实现在外网访问内网web网站包括ping 首先在网关在起路由转发功能 编写iptables的DNAT脚本 执行脚本 外网访问内网web网站 在外网实现ping通内网 在内网web服务器查看日志 编写脚本实现telnet内网 在外网telnet内网服务器 内网 编写的脚本： #!/bin/bash # # bianliang LES=/sbin/iptables # # qingkong $LES -t nat -F $LES -t nat -X # # luyou kaiqi /sbin/sysctl -w net.ipv4.ip_forward=1 # echo 1 /proc/sys/net/ipv4/ip_forward # # celie # # SNAT #$LES -t nat -A POSTROUTING -p tcp --dport 80 -s /24 -o eth1 -j SNAT --to-source #$LES -t nat -A POSTROUTING -p icmp -s /24 -o eth1 -j SNAT --to-source $LES -t nat -A POSTROUTING -p tcp --dport 80 -s /24 -o eth1 -j MASQUERADE $LES -t nat -A POSTROUTING -p icmp -s /24 -o eth1 -j MASQUERADE # # PPPoE #$LES -t nat -A POSTROUTING -p tcp --dport 80 -s /24 -o ppp1 -j MASQUERADE #$LES -t nat -A POSTROUTING -p icmp -s /24 -o ppp1 -j MASQUERADE # # DNAT $LES -t nat -A PREROUTING -i eth1 -s /24 -d -p tcp --dport 80 -j DNAT --to-destination 00 $LES -t nat -A PREROUTING -i eth1 -s /24 -d -p tcp --dport 22 -j DNAT --to-destination 00 实验案例：SNAT、DNAT网关策略 Linux网关服务器 6/24 eth0: /24 eth1: 54/24 局域网PC机 /24 网站服务器 00/24 Internet