Eth0的IP 地址, GW和DNS 都是自动获取的。当然,如果是手动分配 IP 、 GW 和 DNS 也是没问题的。我的 eth0 配置如下:
IP: 192.168.79.129/24
GW: 192.168.79.1
DNS:192.168.79.2
Linux 主机的 eth1 指向内网, IP 地址为: 10.50.10 .1/24 。内网主机的内网主机的 IP 地址就是 10.50.10.0/24 段的 IP , eth1 的 IP 是所有内网主机的网关。这里,我的内网主机设置如下:
IP: 10.50.10.46/24
GW: 10.50.10.1
DNS:192.168.79.2
这里,所有内网主机的网关都设置为 eth1 的 IP 地址,而 DNS 设置为 eth1 所在的 Linux 系统主机的 DNS ,即 192.168.79.2 。
(二)启用转发功能
以上配置完成后,Host A应该可以ping通Linux系统主机的eth1的IP,因为他们是通过交换机链接的。但是,Host A应该可以ping不通Linux系统主机的eth0的IP,应为并未开启Linux系统主机的转发功能。
开启Linux的转发功能,执行如下命令:
# echo 1 > /proc/sys/net/ipv4/ip_forward
查看系统是否启用了转发功能,可以执行如下命令:
# cat /proc/sys/net/ipv4/ip_forward
如果结果为1,代表已启用,0代表未启用。
此时,执行ping 192.168.72.129 以及其网关和DNS都可ping通了。
(三)配置NAT规则
经过第二部分配置后,虽然可以ping相关的IP地址,但是内网主机还是无法上网。问题在于内网主机的IP地址是无法在公网上路由的。因此,需要转换成Linux系统主机可以上网的IP(注:这里我们只说不说是公网IP,是因为Linux系统可以直接上外网的IP同样是内网IP。但是该内网IP(192.168.79.129)已经通过一些机制,实际上同样是NAT的方式,可以访问外网了,因此我们只需将Host A的IP转换成Linux系统eth0接口的IP即可)。
我们配置的NAT
NAT 转换:
#iptables -t nat -A POSTROUTING -s 10.50.10.0/24 -o eth0 -j MASQUERADE
也可以通过使用 SNAT target 实现:
#iptables -t nat -A POSTROUTING -s 10.50.10.0/24 -o eth0 -j SNAT --to-source 192.168.79.129
至于 MASQUERADE SNAT 的区别,可以网上搜索,有相关的解释。
同时,还要在 FORWARD 点出配置规则如下:
#iptables -A FORWARD -i eth1 -j ACCEPT
保证所有进入 eth1 的包都被 FORWARD ACCEPT
经过以上的配置之后, Host A 就可以正常的访问外网了。
问题iptablessnatMASQUERADE的区别
解决方案
iptables中可以灵活的做各种网络地址转换(NAT
  网络地址转换主要有两种:snatDNAT
  snatsource network address translation的缩写
  即源地址目标转换
  比如,多个PC机使用ADSL路由器共享上网
  每个PC机都配置了内网IP
  PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip
  当外部网络的服务器比如网站web服务器接到访问请求的时候
  他的日志记录下来的是路由器的ip地址,而不是PC机的内网ip
  这是因为,这个服务器收到的数据包的报头里边的源地址,已经被替换了
  所以叫做snat,基于源地址的地址转换
  DNATdestination network address translation的缩写
  即目标网络地址转换
  典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip
  互联网上的访问者使用公网ip来访问这个网站
  当访问的时候,客户端发出一个数据包
  这个数据包的报头里边,目标地址写的是防火墙的公网ip
  防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip
  然后再把这个数据包发送到内网的web服务器
  这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了
  即DNAT,基于目标的网络地址转换
  MASQUERADE,地址伪装,在iptables中有着和snat相近的效果,但也有一些区别
  但使用snat的时候,出口ip的地址范围可以是一个,也可以是多个,例如:
  如下命令表示把所有10.8.0.0网段的数据包snat192.168.5.3ip然后发出去
  iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j snat --to-source 192.168.5.3
  如下命令表示把所有10.8.0.0网段的数据包snat192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去
  iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j snat --to-source 192.168.5.3-192.168.5.5
  这就是snat的使用方法,即可以NAT成一个地址,也可以NAT成多个地址
  但是,对于snat,不管是几个地址,必须明确的指定要snatip
  假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变
  而且改变的幅度很大,不一定是192.168.5.3192.168.5.5范围内的地址
  这个时候如果按照现在的方式来配置iptables就会出现问题了
  因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的
  每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip
  这样是非常不好用的
  MASQUERADE就是针对这种场景而设计的,他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT
  比如下边的命令:
  iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
  如此配置的话,不用指定snat的目标ip
  不管现在eth0的出口获得了怎样的动态ipMASQUERADE会自动读取eth0现在的ip地址然后做snat出去
这样就实现了很好的动态snat地址转换
查看当前iptables的当前配置:
Iptables –L
Iptables –t nat –L
Iptables –L –n
清除规则:
[root@tp ~]# iptables -F      清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X      清除预设表filter中使用者自定链中的规则
Iptables保存:
[root@tp ~]#/etc/rc.d/init.d/iptables save
Iptables服务器重启:
服务器地址
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@tp ~]# iptables -P INPUT DROP
[root@tp ~]# iptables -P OUTPUT ACCEPT
[root@tp ~]# iptables -P FORWARD DROP
上面的意思是,当超出了IPTABLESfilter表里的两个链规则(INPUT,FORWARD),不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全.我们要控制流入数据包

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。