linux实现nat转发和内部端口映射

最新推荐文章于 2024-05-27 15:16:55 发布
最新推荐文章于 2024-05-27 15:16:55 发布
阅读量3.4k 收藏 6
点赞数 2
分类专栏: linux

linux实现nat转发和内部端口映射

双网卡:

路由机

eth0:114.114.114.114(公网ip)  eth1:192.168.1.1(内网ip)

pc1

eth0:192.168.1.2(内网ip)    eth1(拨号ip)

pc2

eth0:192.168.1.3(内网ip)    eth1(拨号ip)

 

1.配置路由机网卡信息

vim /etc/sysconfig/network-scripts/ifcfg-eth1

复制代码 
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth1
UUID=85290fec-9166-4a02-90c3-711bf55d1ae2
DEVICE=eth1
ONBOOT=yes
HWADDR=00:0c:29:27:64:b8
IPADDR=192.168.1.1
复制代码

此网卡只配置IP,不配置网关

2.配置pc1网卡

vim /etc/sysconfig/network-scripts/ifcfg-eth0

复制代码 
TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=d79660a0-4225-4f0e-96b1-4d61fc05a17c
DEVICE=eth0
ONBOOT=yes
HWADDR=00:0c:29:97:6a:4b
IPADDR=192.168.1.2
NETMASK=255.255.255.0
GATEWAY=192.168.1.1
复制代码


pc2配置与pc1类似,保证2台pc机与网关能互相ping通

此时pc1 pc2还不能访问外网,需要路由机做iptables规则

1.查看机器的转发功能时候打开

cat /proc/sys/net/ipv4/ip_forward

若返回1则表示已经打开

返回0则:

echo "1" > /proc/sys/net/ipv4/ip_forward

此规则及时生效,但重启后就失效了,需要在配置文件里添加

vim /etc/sysctl.conf

复制代码 
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
#每个消息队列的最大字节限制
kernel.msgmax = 65536
#每个消息的最大size
kernel.shmmax = 68719476736
#内核参数定义单个共享内存段的最大值
kernel.shmall = 4294967296
#控制共享内存页数
复制代码

iptables做nat转发规则

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 114.114.114.114

将192.168.1.0网段转发至路由机的公网IP(静态)

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

将所有网段转发至路由机公网ip(动态)
现在2台pc机就能访问外网了,如果不能访问则检查下dns配置

 

 

内部端口映射

iptables -t nat -A PREROUTING -d 114.114.114.114/32 -p tcp -m tcp --dport 26688 -j DNAT --to-destination 192.168.1.2:22

把192.168.1.2的22端口映射到外部26688端口
找台外网机器访问下114.114.114.114的26688端口,就可以直接进入pc1

 

 

删除规则:把-A改为-D

iptables -t nat -D PREROUTING -d 114.114.114.114/32 -p tcp -m tcp --dport 26688 -j DNAT --to-destination 192.168.1.2:22

映射失效

最后保存下iptables配置

/usr/sbin/iptables-save


但是当pc1拨号时也会导致端口映射失效,类似双网卡默认对外路由的问题,通过路由机访问的IP会默认走拨号端口,需要做下ip伪装,将通过访问内网的公网地址伪装成网关地址从而实现内网通信

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


单网卡:

下面以CentOS为例,说明单网卡NAT代理的配置。

首先增加eth0:0接口:
新建文件:/etc/sysconfig/network-scripts/ifcfg-eth0:0
文件的内容如下:

点击(此处)折叠或打开

  1. DEVICE=eth0:0
  2. IPADDR=192.168.164.100
  3. NETMASK=255.255.255.0
  4. ONBOOT=yes
  5. BOOTPROTO=static
其中 192.168.164.100为内网的代理网关的ip,保存刚才新建的文件,然后运行命令: service network restart,重启网络。
输入ifconfig命令,网络配置如下:
eth0的ip为 211.69.198.191,即外网ip,eth0:0的ip为 192.168.164.100, 即内网ip。读者要根据自己的情况对这两个ip进行替换。

测试单过程中,外网ip必须使用 eth 而且内网ip 使用 eth0:0 才能使用 !!!
还要设置好外网网卡处单路由项目, route
接着输入以下命令:

点击(此处)折叠或打开

  1. echo 1 > /proc/sys/net/ipv4/ip_forward
  2. iptables -F
  3. iptables -F -t nat
  4. iptables -P FORWARD DROP
  5. iptables -A FORWARD -s 192.168.164.0/24 -j ACCEPT
  6. iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
  7. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.164.0/24 -j SNAT --to 211.69.198.191
在另一台主机上进行配置:
ip为: 192.168.164.114
netmask为: 255.255.255.0
网关为: 192.168.164.100
如下图所示:
则这台主机即可利用配置好的nat代理上网了。

firewall-cmd实现端口转发:

☼ NAT 转发软路由

开启 NAT 转发之后,只要本机可以上网,不论是单网卡还是多网卡,局域网内的其他机器可以将默认网关设置为已开启 NAT 转发的服务器 IP ,即可实现上网。

# 开启 NAT 转发
firewall-cmd --permanent --zone=public --add-masquerade

# 开放 DNS 使用的 53 端口,UDP
# 必须,否则其他机器无法进行域名解析
firewall-cmd --zone=public --add-port=80/tcp --permanent

# 检查是否允许 NAT 转发
firewall-cmd --query-masquerade
# 禁止防火墙 NAT 转发
firewall-cmd --remove-masquerade

☼ 端口转发

端口转发可以将指定地址访问指定的端口时,将流量转发至指定地址的指定端口。转发的目的如果不指定 ip 的话就默认为本机,如果指定了 ip 却没指定端口,则默认使用来源端口。

# 将80端口的流量转发至8080
firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080

# 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1

# 将80端口的流量转发至192.168.0.1的8080端口
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080
控制端口/服务:

firewall-cmd --add-service=mysql        # 开放mysql端口
firewall-cmd --remove-service=http      # 阻止http端口
firewall-cmd --list-services            # 查看开放的服务
firewall-cmd --add-port=3306/tcp        # 开放通过tcp访问3306
firewall-cmd --remove-port=80tcp        # 阻止通过tcp访问3306
firewall-cmd --add-port=233/udp         # 开放通过udp访问233
firewall-cmd --list-ports               # 查看开放的端口

是否开启IP伪装:
firewall-cmd --query-masquerade # 检查是否允许伪装IP
firewall-cmd --add-masquerade   # 允许防火墙伪装IP
firewall-cmd --remove-masquerade# 禁止防火墙伪装IP

端口转发:

firewall-cmd --add-forward-port=port=80:proto=tcp:toport=8080   # 将80端口的流量转发至8080
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 将80端口的流量转发至192.168.0.1
firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.0.1:toport=8080 # 将80端口的流量转发至192.168.0.1的8080端口

JackLiu16
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux nat
04-27 243
(一)Iptables 的使用语法在使用iptables的NAT功能时,我们必须在每一条规则中使用"-t nat"显示的指明使用nat表。然后使用以下的选项::1. 对规则的操作加入(append) 一个新规则到一个链 (-A)的最后。在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。在链内某个位置替换(replace) 一条规则 (-R)。在链内某个位置删...
NAT设置
天生我才必有用,钱到月底不够花
02-24 983
打开ip_forward:echo 1 > /proc/sys/net/ipv4/ip_forward或修改/etc/sysctl.conf,加上net.ipv4.ip_forward = 1iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 你的eth0地址我的eth1(连内网)没写broadcast和gat
防火墙技术基础篇:NAT转发之——NAPT(同时转换地址和端口
最新发布
qq_39241682的博客
05-27 893
网络地址端口转换NAPT网络地址端口转换NAPT(Network Address Port Translation)是人们比较熟悉的一种转换方式。NAPT普遍应用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
使用iptables进行NAT转发
热门推荐
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
iptables nat
macob的专栏
08-06 453
iptables nat
Linux 内部路由实现及网口转发之理论篇
liuzhanchun的博客
06-17 1719
基于iptables 实现内部路由功能(arm交叉编译该工具即可实现) ptables实现NAT路由 NAT路由 一.问题描述 : 主机B充当路由使处在内网中的主机C能通过主机B访问外网 二.实验原理: Nat(Network Address Translation、网络地址翻译)表中,也就是用以实现地址转换和端口转发功能的这个表,定义了PREROUTING, POSTROUTING,OUTPUT三个链: NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由
iptables nat表含义_iptables中nat
weixin_39848970的博客
12-21 683
iptables中nat表可以实现SNAT, DNAT, 双向NAT和两次NAT.一. 源地址NAT1. 标准的SNATSNAT的目的是进行源地址转换,应用于POSTROUTING规则链.在路由决定之后应用.SNAT与出站接口相关,而不是入站接口. 语法如下:iptables -t nat -A POSTROUTING -o -j SNAT --to-source [-][:port-port]...
Linux端口映射转发的方法
09-15
这种方式需要在2.2.2.2上编写并运行特定的代码来实现转发逻辑。 2. Nginx转发: Nginx是一个流行的反向代理服务器,可以轻松实现端口转发。在2.2.2.2上配置Nginx,添加如下规则: ``` listen 8080; location /...
Linux 或 Windows 上实现端口映射.docx
11-09
Linux实现端口映射可以使用 iptables 命令,例如允许数据包转发、设置端口映射等。例如: * 允许数据包转发:echo 1 >/proc/sys/net/ipv4/ip_forward * 设置端口映射:iptables -t nat -A PREROUTING -p tcp ...
nat.rar_linux nat_nat_nat 实现_数据包转发
09-14
在本教程中,我们将深入探讨如何在Linux系统中实现NAT数据包转发。 首先,了解NAT的基本原理至关重要。NAT的核心功能是将内部网络的私有IP地址映射到公网IP地址,反之亦然。当内部设备向外部网络发送数据包时,NAT...
linux下使用rinetd来实现端口转发
09-15
Linux环境中,有时候我们需要将来自特定IP或网络的流量重定向到不同的端口或服务器上,这通常被称为端口转发端口映射。在这样的场景下,`rinetd`是...根据你的具体需求,可以选择适合的工具来实现端口映射转发
Linux内核网口用的第二个,linux实现二层交换单臂路由
weixin_34221197的博客
05-11 261
环境:RHEL 5.2 最小化安装,物理网卡eth1,作为VLAN交换机连接的Trunk口连接到2960的GigabitEthernet0/1。而另外一张物理网卡eth0作为上行口,连接其他网络。Cisco 2960,启用VLAN,VLAN的网段规划入下:VLAN 1:fa0/1 - fa0/6 192.168.1.0/24VLAN 2:fa0/7 - fa0/12 192.168.2.0/24V...
iptables
bie961208的博客
12-06 306
yum search iptables yum install iptables-services.x86_64 -y systemctl stop firewalld.service    ##停止火墙 systemctl mask firewalld.service    ##冻结火墙 一、相关概念 Iptables 利 用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据
Linux 系统双网卡实现内网端口转发
#include
08-28 1万+
Linux 系统双网卡实现内网端口转发NAT),从而让内网的计算机可以通过作为 NAT 服务器的 Linux 主机访问外网。
内核阅读之浅析Linux2.6.34内核桥接数据转发(三)
Robin_FJ的博客
11-28 1986
如有错误之处,欢迎指正学习。 handle_bridge()函数,该函数在Linux2.6.34\net\core\Dev.c 这里回调了br_handle_frame_hook()函数,这个是一个钩子函数。Br_handle_frame_hook()函数在Linux2.6.34\net\bridge\Br_input.c中,br_handle_frame_hook=br_hand
linux防火墙之iptables和NAT
qinwunan的博客
05-31 927
防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。
[RHEL5企业级Linux服务攻略]--第9季 Squid服务全攻略之高级配置
weixin_34041003的博客
04-07 117
企业环境 公司搭建一台代理服务器,需要提高内网访问互联网速度并能够对内部员工的上网行为进行限制,采用squid代理服务器软件,对内部网络进行优化。 需求分析 提高用户访问速度,需要对squid服务器进行优化并且需要使用acl对访问行为进行相应限制。 解决方案 1、路由及NAT设置 设置网卡IP地址 eth0:192.168.8.188 netmask:255.255.255.0 v...
Linux 查看NAT
q1009020096的博客
01-11 1121
查看NAT
Linux下通过虚拟网卡实现局域网 转发tcp/udp流量
Nonikka的小方舟
06-11 1万+
linux下有tun/tap,可以虚拟出来一张网卡. 以下为个人理解: 比如你的网卡ip为192.169.8.138,当你的程序在监听192.169.8.138:55555端口时,流量就会从这个网卡经过. 经过是什么意思呢,tcp会有三次握手,那么握手的包便是走在这个网卡上,当你使用tcpdump -i tun111 -vvv -e -X 这个命令去抓tun111网卡的时候,就可以看到三次显...
linux端口映射怎么设置
06-06
Linux端口映射可以通过iptables命令来设置。具体步骤如下: 1. 打开终端,输入以下命令以开启iptables: sudo iptables -F 2. 输入以下命令以允许端口转发: sudo sysctl -w net.ipv4.ip_forward=1 3. 输入以下命令以添加端口映射规则: sudo iptables -t nat -A PREROUTING -p tcp --dport [外部端口] -j DNAT --to-destination [内部IP地址]:[内部端口] 其中,[外部端口]为外部访问的端口号,[内部IP地址]为内部服务器的IP地址,[内部端口]为内部服务器的端口号。 4. 输入以下命令以保存iptables规则: sudo iptables-save > /etc/iptables.rules 5. 输入以下命令以开机自动加载iptables规则: sudo nano /etc/network/if-pre-up.d/iptables 在打开的文件中输入以下内容: #!/bin/sh iptables-restore < /etc/iptables.rules exit 保存并退出。 6. 输入以下命令以重启网络服务: sudo service networking restart 完成以上步骤后,就可以通过外部端口访问内部服务器了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值