本文假设读者已经对NAT的原理和基本用法有所了解。如不确定,可参考以下文章:
- 如何用iptables实现Linux下强大的NAT功能
- 如何用iptables实现NAT
- iptables nat表基本语法
本文案例中,我们假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是私网IP,通过该私网IP用户无法向外发布信息。但是,部分用户要求建立自己的WWW服务器对外发布信息。
我们可以在防火墙的外部网卡上绑定多个合法IP地址,然后通过ip映射使发给其中某一个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
具体的IP分配如下:
(1)该ISP分配给A单位www服务器的IP为:
私网ip:172.168.92.100
公网ip:210.95.33.100
(2)该ISP分配给B单位www服务器的IP为:
私网ip:172.168.92.200
公网ip:210.95.33.200
(3)Linux防火墙的IP地址分别为:
内网接口eth1:172.168.92.10
外网接口eth0:210.95.33.1
然后,我们需要进行如下步骤地操作:
(1)将分配给A、B单位的真实ip绑定到防火墙的外网接口,以root权限执行以下命令:
#ifconfig eth0 add 210.95.33.100 netmask 255.255.255.0
#ifconfig eth0 add 210.95.33.200 netmask 255.255.255.0
(2)成功升级内核后安装iptables,然后执行以下脚本载入相关模块:
modprobe ip_tables
modprobe ip_nat_ftp
(3)对防火墙接收到的目的ip为210.95.33.100和210.95.33.200的所有数据包进行目的NAT(DNAT):
#iptables -A PREROUTING -i eth0 -d 210.95.33.100 -j DNAT --to 172.168.92.100
#iptables -A PREROUTING -i eth0 -d 210.95.33.200 -j DNAT --to 172.168.92.200
(4)对防火墙接收到的源ip地址为172.168.92.100和172.168.92.200的数据包进行源NAT(SNAT):
#iptables -A POSTROUTING -o eth0 -s 172.168.92.100 -j SNAT --to 210.95.33.100
#iptables -A POSTROUTING -o eth0 -s 172.168.92.200 -j SNAT --to 210.95.33.200
这样,所有目的ip为210.95.33.100和210.95.33.200的数据包都将分别被转发给172.168.92.100和172.168.92.200;而所有来自172.168.92.100和172.168.92.200的数据包都将分别被伪装成由210.95.33.100和210.95.33.200,从而也就实现了ip映射。
作者:Gezidan
本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。
posted on 2011-09-20 14:15
日需博客 阅读(366)
评论(0) 编辑 收藏 引用 所属分类:
Linux 、
技术文章 、
转载