一、SNAT与DNAT策略
1.1 作用
- 局域网主机共享单个公网IP地址接入Internet
- 源地址转换,Source Network Address Translation
- 修改数据包的源地址
- 局域网共享上网
1.2 实现原理
二、实操
pxe服务器上需要配置服务,来供客户机进行系统的安装,因为不在同一个网段,所以防火墙需要做地址的分发以及iptables策略的制作。
2.1 脚本来制作pxe服务器上的配置
#!/bin/bash
# pex自动安装
# vsftpd服务的配置
yum -y install vsftpd
FTP=/etc/vsftpd/vsftpd.conf
sed -i '$aanon_umask=022' $FTP
sed -i '$aanon_other_write_enable=YES' $FTP
sed -i '$aanon_upload_enable=YES' $FTP
sed -i '$aanon_mkdir_write_enable=YES' $FTP
sed -i '/listen/s/NO/YES/g' $FTP
sed -i '/listen_ipv6/s/YES/NO/g' $FTP
systemctl start vsftpd
# ftp服务的配置
yum -y install tftp-server
TFTP=/etc/xinetd.d/tftp
sed -i '/disable/s/yes/no/g' $TFTP
systemctl start tftp
systemctl enable tftp
# 启动文件的配置
yum -y install syslinux
cp /usr/share/syslinux/pxelinux.0 /var/lib/tftpboot
cp /mnt/images/pxeboot/initrd.img /var/lib/tftpboot
cp /mnt/images/pxeboot/vmlinuz /var/lib/tftpboot
cd /mnt/isolinux
cp /mnt/isolinux/vesamemu.c32 /var/lib/tftpboot
mkdir /var/lib/tftpboot/pxelinux.cfg
cp /mnt/isolinux/isolinux.cfg /var/lib/tftpboot/pxelinux.cfg/default
A=/var/lib/tftpboot/pxelinux.cfg/default
sed -i '/.$/d' $A
echo "default auto" >> $A
sed -i '$aprompt 0' $A
sed -i '$alabel auto' $A
sed -i '$akernel vmlinuz' $A
sed -i '$aappend initrd=initrd.img method=ftp://192.168.20.11/pub ks=ftp://192.168.20.11/ks.cfg' $A
sed -i '$alabel linux text' $A
sed -i '$akernel vmlinuz' $A
sed -i '$aappend text initrd=initrd.img method=ftp://192.168.20.11/pub' $A
sed -i '$alabel linux rescue' $A
sed -i '$akernel vmlinuz' $A
sed -i '$aappend rescue initrd=initrd.img method=ftp://192.168.20.11/pub' $A
# xinetd服务的配置
yum -y install xinetd
chkconfig --level 35 xinetd on
chkconfig --level 35 tftp on
mount /dev/cdrom /var/ftp/pub
# kickstart无人值守
yum -y install system-config-kickstart
systemctl restart vsftpd
systemctl restart tftp
再讲预先准备好的ks.cfg文件重定向到/var/ftp下面即完成了pxe服务器的配置
2.2 防火墙的配置
防火墙需要为客户机提供地址,所以
# yum -y install dhcpd
# vi /etc/dhcp/dhcpd.conf
ddns-update-style none;
next-server 192.168.20.11;
filename "/pxelinux.0";
subnet 192.168.20.0 netmask 255.255.255.0 {
range 192.168.20.100 192.168.20.150;
option routers 192.168.20.11;
option domain-name-servers 8.8.8.8, 9.9.9.9;
}
# systemctl start dhcpd
其次要进行SNAT和DNAT策略的制作
yum -y install iptables iptables-server
iptables -t nat -I POSTROUTING -s 192.168.10.10 -o ens36 -j SNAT --to-source 192.168.20.12
iptables -t nat -I POSTROUTING -d 192.168.20.12 -i ens36 -j DNAT --to-destination 192.168.10.10
3.3 客户机上的操作
进行基本的装机选项之后,进行装机
表示防火墙的策略制作成功,跨网段的客户机能够接收到来自另一个网段的服务器的服务。