DNAT作用
一般在Internet中发布内网服务器。
工作原理
客户机通过将网关作为目标地址,通过路由与DNAT将外网IP转化为内网IP访问服务器,就实现了HTTP请求。在服务端通过网关服务器实现HTTP应答,回馈客户机。
DNAT的前提条件
- 局域网的web服务器难过访问Internet。
- 网关的外网IP地址有正确的DNS解析记录。
- Linux网关支持IP路由转发。
DNAT转换规则
### 指定nat表,在指定的规则链下进行网卡IP转换规则的指定,再指定服务的访问端口,指定转换后的内网IP地址
iptables -t nat -A PREROUTING -i ens32 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.3
DNAT转换
### 发布时修改目标端口
# 发布局域网内部的OpenSSH服务器,在外网主机需要使用250端口进行连接
iptables -t nat -A PREROUTING -i ens32 -d 12.0.0.1 -p tcp -dport 250 -j DNAT --to 192.168.23.11:22
### 测试外网环境使用SSH
ssh -p 250 root@12.0.0.1
注意:在使用DNAT时,只有同时配合SNAT使用,才能相应数据包的正确返回
主机型防火墙:主要使用 INPUT、OUTPUT 链,设置设置规则时一般要详细的指定到端口。
网络型防火墙:主要使用 FORWARD 链,设置规则时很少去指定到端口,指定IP地址或网段即可
防火墙规则备份与还原
导出备份规则:
iptables-save > /ipt.txt
导入还原规则:
iptables-restore > /ipt.txt
DNAT详细解析
通过Internet连接发布我们的网站,但是HTTP server在我们的内网里,而 且我们对外只有一个合法的IP,就是防火墙那个对外的IP—— $INET_IP。防火墙还有一个内网的IP—— $LAN_IP,HTTP server的IP是 $HTTP_IP (这当然是内网的了)。为了完成我们的设想,要做的第一件事就是把下面的这个简单的规则加入到nat表 的PREROUTING链中:
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP
现在,所有从Internet来的、到防火墙的80端口去的包都会被转发(或称做被DNAT )到在内网的HTTP服务器上。如果你在Internet上试验一下,一切正常吧。再从内网里试验一下,完全 不能用吧。这其实是路由的问题。下面我们来好好分析这个问题。为了容易阅读,我们把在外网上访问我们 服务器的那台机子的IP地址记为$EXT_BOX。
- 包从地址为**$EXT_BOX的机子出发,去往地址为$INET_IP** 的机子。
- 包到达防火墙。
- 防火墙DNAT(也就是转发)这个包,而且包会经过很多其他的链检验及处理。
- 包离开防火墙向$HTTP_IP前进。
- 包到达HTTP服务器,服务器就会通过防火墙给以回应,当然,这要求把防火墙作为HTTP到达$EXT_BOX的网关。一般情况下,防火墙就是HTTP服务器的缺省网关。
- 防火墙再对返回包做Un-DNAT(就是照着DNAT的步骤反过来做一遍),这样就 好像是防火墙自己回复了那个来自外网的请求包。
- 返回包好象没经过这么复杂的处理、没事一样回到$EXT_BOX。