本文將介紹一個使用iptables實現(xiàn)NAT轉(zhuǎn)發(fā)功能的案例。
本文案例中,我們假設(shè)有一家ISP提供園區(qū)Internet接入服務(wù),為了方便管理,該ISP分配給園區(qū)用戶的IP地址都是私網(wǎng)IP,通過該私網(wǎng)IP用戶無法向外發(fā)布信息。但是,部分用戶要求建立自己的WWW服務(wù)器對外發(fā)布信息。
我們可以在防火墻的外部網(wǎng)卡上綁定多個合法IP地址,然后通過ip映射使發(fā)給其中某一個IP地址的包轉(zhuǎn)發(fā)至內(nèi)部某一用戶的WWW服務(wù)器上,然后再將該內(nèi)部WWW服務(wù)器響應(yīng)包偽裝成該合法IP發(fā)出的包。
具體的IP分配如下:
(1)該ISP分配給A單位www服務(wù)器的IP為:
私網(wǎng)ip:172.168.92.100
公網(wǎng)ip:210.95.33.100
(2)該ISP分配給B單位www服務(wù)器的IP為:
私網(wǎng)ip:172.168.92.200
公網(wǎng)ip:210.95.33.200
(3)Linux防火墻的IP地址分別為:
內(nèi)網(wǎng)接口eth1:172.168.92.10
外網(wǎng)接口eth0:210.95.33.1
然后,我們需要進(jìn)行如下步驟地操作:
(1)將分配給A、B單位的真實ip綁定到防火墻的外網(wǎng)接口,以root權(quán)限執(zhí)行以下命令:
#ifconfig eth0 add 210.95.33.100 netmask 255.255.255.0
#ifconfig eth0 add 210.95.33.200 netmask 255.255.255.0
(2)成功升級內(nèi)核后安裝iptables,然后執(zhí)行以下腳本載入相關(guān)模塊:
modprobe ip_tables
modprobe ip_nat_ftp
(3)對防火墻接收到的目的ip為210.95.33.100和210.95.33.200的所有數(shù)據(jù)包進(jìn)行目的NAT(DNAT):
#iptables -A PREROUTING -i eth0 -d 210.95.33.100 -j DNAT --to 172.168.92.100
#iptables -A PREROUTING -i eth0 -d 210.95.33.200 -j DNAT --to 172.168.92.200
(4)對防火墻接收到的源ip地址為172.168.92.100和172.168.92.200的數(shù)據(jù)包進(jìn)行源NAT(SNAT):
#iptables -A POSTROUTING -o eth0 -s 172.168.92.100 -j SNAT --to 210.95.33.100
#iptables -A POSTROUTING -o eth0 -s 172.168.92.200 -j SNAT --to 210.95.33.200
這樣,所有目的ip為210.95.33.100和210.95.33.200的數(shù)據(jù)包都將分別被轉(zhuǎn)發(fā)給172.168.92.100和172.168.92.200;而所有來自172.168.92.100和172.168.92.200的數(shù)據(jù)包都將分別被偽裝成由210.95.33.100和210.95.33.200,從而也就實現(xiàn)了ip映射。
.png)
作者:Gezidan
本文版權(quán)歸作者和博客園共有,歡迎轉(zhuǎn)載,但未經(jīng)作者同意必須保留此段聲明,且在文章頁面明顯位置給出原文連接,否則保留追究法律責(zé)任的權(quán)利。
本文轉(zhuǎn)載自 http://patterson.blog.51cto.com/1060257/676919
posted on 2011-10-08 09:02
日需博客 閱讀(787)
評論(0) 編輯 收藏 引用 所屬分類:
Linux 、
技術(shù)文章 、
轉(zhuǎn)載