一.实验原理
Nat(Network Address Translation、网络地址翻译)表中,也就是用以实现地址转换和端口转发功能的这个表,定义了PREROUTING, POSTROUTING,OUTPUT三个链:
NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外网服务器发出的数据包经过路由器时,原本是路由器上的公网 IP 地址被路由器改为内网 IP ;
如果内网主机访问外网而经过路由时,源 IP 会发生改变,这种变更行为就是 SNAT;
当外网的数据经过路由发往内网主机时,数据包中的目的 IP (路由器上的公网 IP) 将修改为内网 IP,这种变更行为就是 DNAT ;
SNAT 和 DNAT所对应的两个链分别是 POSTROUTING和PREROUTING
POSTROUTING是源地址转换,要把你的内网地址转换成公网地址才能让你上网。
PREROUTING是目的地址转换,要把别人的公网IP换成你们内部的IP,才让访问到你们内部受防火墙保护的机器。
二.实验环境
分类 | A | B | C |
---|---|---|---|
IP | ens33:192.168.195.135 | ens33:192.168.195.137 | ens33:192.168.232.136 |
ens37:192.168.232.133 | |||
GATEWAY(网关) | 192.168.195.2 | 192.168.195.2 | 192.168.232.133 |
三.实现端口转发
1.1.开启主机B的路由转发功能(默认值0是禁止ip转发,修改为1即开启ip转发功能。)
[root@B~]#echo "1" > /proc/sys/net/ipv4/ip_forward
2.在主机B中添加iptables策略
[root@B~]#iptables -P FORWARD DROP
[root@B~]#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@B~]#iptables -t nat -A PREROUTING -d 192.168.195.135 -p tcp --dport 21 -j DNAT --to 192.168.232.136
[root@B~]#iptables -A FORWARD -d 192.168.232.136
分析:
iptables -P FORWARD DROP 禁止所有经过B转发的包
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
ESTABLISHED:已建立的连接;
RELATED:相关联的连接,当前连接是一个新请求,但附属于某个已存在的连接
iptables -t nat -A PREROUTING -d 192.168.195.135 -p tcp --dport 21 -j DNAT --to 192.168.232.136
将外网数据包中的目的 IP (192.168.195.135) 将修改为内网 IP(192.168.232.136)使其能对内网的21号端口进行访问
iptables -A FORWARD -d 192.168.232.136
仅允许转发目的IP为192.168.232.136的报文
3.测试
[root@C~]#yum install vsftpd -y
[root@C~]#systemctl stop firewallld
[root@C~]#systemctl start vsftpd
[root@A~]#telnet 192.168.232.136 21
Trying 192.168.232.136...
Connected to 192.168.232.136.
Escape character is '^]'.
220 (vsFTPd 3.0.2)
分析:
在主机C:
yum install vsftpd -y 安装ftp(21号口对应服务)服务端的相关
systemctl stop firewallld 关闭防火墙
systemctl start vsftpd 开启ftp服务(21端口)
在主机A:
telnet 192.168.232.136 21
通过telnet命令检查是否实现端口转发
四.错误记录:
在主机A端多加了一条路由
route add -net 192.168.232.0/24 gw 192.168.195.137
主机A和主机B原本就是互相能通信的,不需要在添加路由;多添加的路由与原本默认路由冲突,导致主机A与主机B无法正常通信