Linux双网卡搭建NAT服务器.docVIP

Eth0的IP 地址， GW和DNS 都是自动获取的。当然，如果是手动分配 IP 、 GW 和 DNS 也是没问题的。我的 eth0 配置如下： IP: 29/24 GW: DNS: Linux 主机的 eth1 指向内网， IP 地址为： 10.50.10 .1/24 。内网主机的内网主机的 IP 地址就是 /24 段的 IP ， eth1 的 IP 是所有内网主机的网关。这里，我的内网主机设置如下： IP: 6/24 GW: DNS: 这里，所有内网主机的网关都设置为 eth1 的 IP 地址，而 DNS 设置为 eth1 所在的 Linux 系统主机的 DNS ，即 。 （二）启用转发功能 以上配置完成后，Host A应该可以ping通Linux系统主机的eth1的IP，因为他们是通过交换机链接的。但是，Host A应该可以ping不通Linux系统主机的eth0的IP，应为并未开启Linux系统主机的转发功能。 开启Linux的转发功能，执行如下命令： # echo 1 /proc/sys/net/ipv4/ip_forward 查看系统是否启用了转发功能，可以执行如下命令： # cat /proc/sys/net/ipv4/ip_forward 如果结果为1，代表已启用，0代表未启用。 此时，执行ping 29 以及其网关和DNS都可ping通了。 （三）配置NAT规则 经过第二部分配置后，虽然可以ping相关的IP地址，但是内网主机还是无法上网。问题在于内网主机的IP地址是无法在公网上路由的。因此，需要转换成Linux系统主机可以上网的IP（注：这里我们只说不说是公网IP，是因为Linux系统可以直接上外网的IP同样是内网IP。但是该内网IP（29）已经通过一些机制，实际上同样是NAT的方式，可以访问外网了，因此我们只需将Host A的IP转换成Linux系统eth0接口的IP即可）。 我们配置的NAT NAT 转换： #iptables -t nat -A POSTROUTING -s /24 -o eth0 -j MASQUERADE 也可以通过使用 SNAT target 实现： #iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT --to-source 29 至于 MASQUERADE 和 SNAT 的区别，可以网上搜索，有相关的解释。 同时，还要在 FORWARD 点出配置规则如下： #iptables -A FORWARD -i eth1 -j ACCEPT 保证所有进入 eth1 的包都被 FORWARD 点 ACCEPT 。 经过以上的配置之后， Host A 就可以正常的访问外网了。 问题iptables中snat和MASQUERADE的区别 解决方案iptables中可以灵活的做各种网络地址转换（NAT） 　　网络地址转换主要有两种：snat和DNAT 　　snat是source network address translation的缩写 　　即源地址目标转换 　　比如，多个PC机使用ADSL路由器共享上网 　　每个PC机都配置了内网IP 　　PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的ip 　　当外部网络的服务器比如网站web服务器接到访问请求的时候 　　他的日志记录下来的是路由器的ip地址，而不是PC机的内网ip 　　这是因为，这个服务器收到的数据包的报头里边的“源地址”，已经被替换了 　　所以叫做snat，基于源地址的地址转换 　　DNAT是destination network address translation的缩写 　　即目标网络地址转换 　　典型的应用是，有个web服务器放在内网配置内网ip，前端有个防火墙配置公网ip 　　互联网上的访问者使用公网ip来访问这个网站 　　当访问的时候，客户端发出一个数据包 　　这个数据包的报头里边，目标地址写的是防火墙的公网ip 　　防火墙会把这个数据包的报头改写一次，将目标地址改写成web服务器的内网ip 　　然后再把这个数据包发送到内网的web服务器上 　　这样，数据包就穿透了防火墙，并从公网ip变成了一个对内网地址的访问了 　　即DNAT，基于目标的网络地址转换 　　MASQUERADE，地址伪装，在iptables中有着和snat相近的效果，但也有一些区别 　　但使用snat的时候，出口ip的地址范围可以是一个，也可以是多个，例如： 　　如下命令表示把所有网段的数据包snat成的ip然后发出去 　　iptables -t nat -A POSTROUTING -s / -o eth0 -j snat --to