网络地址转换
SNAT
-
源地址转换
- 共享IP地址上网
DNAT
- 目的地址转换
公网地址无法指向私网地址
源地址转换
SNAT 策略
SNAT 策略的典型应用环境,局域网主机共享单个公网IP 地址接入Internet。
SNAT 策略的原理:
- 源地址转换,Source Network Address Translation;
- 把内网主机所发送的IP 数据包的源地址,修改成网关路由器的公网出口网卡的IP 地址。
静态外网地址
前提条件:
- 局域网各主机正确设置了IP 地址/子网掩码;
- 局域网各主机正确设置了默认网关地址;
- Linux 网关支持IP 路由转发。
实现方法:
iptables -t nat -I POSTROUTING -p all -o ens35 -j SNAT --to-source 10.10.10.21
动态外网地址
地址伪装:
- 适用于外网地址非固定的情况。
- 对于ADSL 拨号链接,接口通常为ppp0、ppp1。
- 将SNAT 规则改为MASQUERADE。
实现方法:
iptables -t nat -I POSTROUTING -o ens35 -j MASQUERADE
目标地址转换
DNAT策略
iptables -t nat -I PREROUTING -d 10.4.7.4 -i ens33 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.100:80
内网的web服务外网想要访问
那么外网地址 访问web服务的外网地址的80端口
那么经过DNAT转换就会在web服务的外网网关上自动转换为web服务的内网地址
案例
1配置SNAT 让2016 和SRV1 能上外网iptables -t nat -I POSTROUTING -p all -s 0.0.0.0/0 -o ens33 -j SNAT --to-source 10.4.7.4
2配置DNAT 让2016 访问网关8080 端口 实际上访问的是1.200 的8080 上的tomcat iptables -t nat -I PREROUTING -d 192.168.1.254 -i ens37 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.100:8080
blog.csdnimg.cn/ec83b279d5cd4334b3399deec7e78033.png)