目录

SNAT原理与应用​编辑

SNAT转换前提条件

临时打开：

永久打开：

示例​编辑

DNAT原理与应用​编辑

DNAT转换前提条件

示例​编辑

防火墙规则的备份和还原

导出（备份）所有表的规则

 清空规则​编辑

导入（还原）规则

iptables服务启动时会自动还原规则

---

SNAT原理与应用

SNAT 应用环境：局域网主机共享单个公网IP地址接入Internet（私有不能早Internet中正常路由）
SNAT原理：修改数据包的源地址。

SNAT转换前提条件

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址

2.Linux网关开启IP路由转发

临时打开：

echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

永久打开：

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1         #将此行写入配置文件

sysctl -p                                #读取修改后的配置

SNAT转换1：固定的公网IP地址：

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                    内网IP         出站 外网网卡                 外网IP或地址池     

   SNAT转换2：非固定的公网IP地址（共享动态IP地址）：

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

小知识扩展：

一个IP地址做SNAT转换，一般可以让内网 100到200 台主机实现上网。

示例

服务端

挂载光盘

下载httpd服务

 开启httpd服务，并关闭防火墙

修改网卡

网关服务器

设置两个网卡，一个外网网关IP12.0.0.30，一个内网网关IP192.168.80.30，并重启网络服务

关闭防火墙 

把iptables中关系表全部清空

 修改内核配置文件

 重新加载内核配置文件

 添加规则，允许数据包转换

但是内网连接外网不通，这时候修改配置文件

 客户端

 关闭防火墙，修改内网IP

 在/var/www/html目录下的重定向输出this is test web！到test.html文件中

 在应用程序中浏览器中输入http：//12.0.0.200/test.html

 查看日志

DNAT原理与应用

DNAT 应用环境：在Internet中发布位于局域网内的服务器
DNAT原理：修改数据包的目的地址。

DNAT转换前提条件

1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1     

sysctl -p             

DNAT转换1：发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.10
                             入站 外网网卡  外网IP                                               内网服务器IP
 
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.20

DNAT转换2：发布时修改目标端口            

#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools         #若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33

注意：使用DNAT时，同时还有配合SNAT使用，才能实现响应数据包的正确返回

小知识扩展：
主机型防火墙 主要使用 INPUT、OUTPUT 链，设置规则时一般要详细的指定到端口
网络型防火墙 主要使用 FORWARD 链，设置规则时很少去指定到端口，一般指定到IP地址或者到网段即可

示例

把服务端、客户端还有网关服务器的防火墙全部关掉

systemctl stop firewalld
setenforce 0

客户端设置IP地址

下载httpd服务

 服务端设置IP地址

在/var/log/html/目录中重定向输出hello world！在test.html文件中

 网关服务器

在网关服务器中设置网关IP地址

 修改内核配置文件

 清空iptables关系表

 设置DNAT规则

 设置SNAT规则

 客户端输入私网网址192.168.80.128/test.html

防火墙规则的备份和还原

导出（备份）所有表的规则

iptables-save > /opt/iptables

 清空规则

导入（还原）规则

iptables-restore < /opt/ipt.txt

iptables服务启动时会自动还原规则

将iptables规则文件保存在 /etc/sysconfig/iptables 中，iptables服务启动时会自动还原规则

iptables-save > /etc/sysconfig/iptables
systemctl stop iptables                        #停止iptables服务会清空掉所有表的规则
systemctl start iptables                       #启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则

在/etc/sysconfig/目录下有iptables文件

 把他移动到iptables.bakj

mv iptables{,.bakj}

把iptables-save保存过的文件放在/etc/sysconfig/目录下的iptables文件中 

iptables-save > /etc/sysconfig/iptables

 修改权限，之前的移动的iptables文件权限是600，所以我们也要改为600

 chmod 600 iptables

 

 现在的iptables中配置的规则

 关闭iptables服务（清空iptables）

systemctl stop iptables.service 

重启iptables服务 

systemctl start iptables.service