首先需要启动iptables,在终端窗口输入如下命令(以下指令都需要在root模式下执行):
vim /etc/sysctl.conf
打开sysctl.conf文件,修改其中net.ipv4.ip_forward的值为1,保存并退出,再输入以下命令即可完成启动:
sysctl -p
接下来就可以配置NAT路由表了。路由表主要分为两部分,一是DNAT表(PREROUTING),用于修改报文的目的地址,二是SNAT表(POSTROUTING),用于修改报文的源地址。例如,现在需要在一个LINUX系统的网关上配置路由转发表,网关的一端连着电脑,另一端连着一个WIFI终端设备,网关的职责就是把从电脑端发送的报文转发到终端设备上。电脑的IP地址为192.168.30.1,终端设备的IP地址为192.168.1.1,网关的IP地址为192.168.30.130(对应电脑)和192.168.1.2(对应终端),端口为5554,使用UDP通信。要实现转发功能,就需要输入以下命令:
iptables -t nat -A PREROUTING -s 192.168.30.1 -d 192.168.30.130 -p udp --dport 5554 -j DNAT --to 192.168.1.1:5554
iptables -t nat -A POSTROUTING -s 192.168.30.1 -d 192.168.30.130 -p udp --dport 5554 -j SNAT --to 192.168.1.2:5554
上面的两条指令分别配置了DNAT表和SNAT表,这样就把从192.168.30.1:5554发送来的UDP报文转发到了192.168.1.1:5554上。注意这里修改了报文的源地址,从表面上来看,转发报文只需要修改目的地址就足够了,但WIFI终端设备也会向控制端发送一些返回信息,这些返回信息的目的地址可能就是设备接收到的报文的源地址。如果不在转发报文时修改报文的源地址,终端设备的返回信息就会发送到192.168.30.130地址上,与192.168.1.1不处于同一个网段内,显然会导致发送失败。
当然,也并不是一定要写明源地址和目的地址,比如可以把从5554端口收到的报文全部转发到192.168.1.1:5554上:
iptables -t nat -A PREROUTING -d 192.168.30.130 -p udp --dport 5554 -j DNAT --to 192.168.1.1:5554
配置好路由表之后可以输入iptables -L -t nat来检查配置,大概可以看到这样的东西:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT udp -- 192.168.30.1 192.168.30.130 udp dpt:freeciv to:192.168.1.1:5556
DNAT udp -- 192.168.1.1 192.168.1.2 udp spt:5554 to:192.168.30.1:5554
DNAT udp -- 192.168.30.1 192.168.30.130 udp dpt:5554 to:192.168.1.1:5554
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT udp -- 192.168.30.1 192.168.30.130 udp dpt:5554 to:192.168.1.2:5554
如果配错了的话,也有删除的方法。例如下面的语句会删除POSTROUTING表的第1项:
iptables -t nat -D POSTROUTING 1
配置完毕的路由表需要保存在一个文件中,例如/etc/iptables.conf:
iptables-save /etc/iptables.conf
重启系统后之前配置的路由表会失效,需要重新加载:
iptables-restore /etc/iptables.conf
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
