实验目的:2台服务器,一台公网、另一台内网,2台服务器之间组内网。实现内网服务器出公网(snat),通过公网端口映射到内网服务器相应端口(dnat)。
实验环境:
一、Windows篇(使用的windows server 2008R2系统)
1、安装相关服务
2、配置路由和远程访问
右键 点击配置并启用路由和远程访问,操作前请关闭2台服务器的系统防火墙。
3、配置内网服务器
这是公网服务器网卡配置:
至此windows的snat配置完成
4、配置dnat
在公网服务器上,右键公网网卡属性
5、测试dnat
二、Linux篇
1、2台linux服务器,一台有公网和内网,一台是纯内网,2台服务器之间组内网。
2、在公网服务器上配置SNAT
打开公网服务器上的路由转发功能,sysctl -p使之生效。
3、开启iptables,并设置相关规则
iptables -t nat -A POSTROUTING -s 2.2.2.0/8 -j SNAT --to 10.57.82.58
重启iptables
4、配置内网服务器网卡
5、测试
6、配置DNAT
iptables -I INPUT -p tcp --dport 1234 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -d 10.57.82.58 -p tcp --dport 1234 -j DNAT --to-destination 2.2.2.2:22
7、测试dnat
8、总结
MASQUERADE 地址伪装
适用于外网ip地址不固定的情况,将SNAT规则改为MASQUERADE即可。
如果是固定的公网ip,建议选择SNAT策略而不是MASQUERADE策略,以减少不必要的系统开销。
原文:http://somethingshare.blog.51cto.com/11025757/1979841