iptable之SNAT的实现

概念：

定义：

SNAT：Source NAT(POSTROUTING链)：源地址转换，请求由内网的主机发起，修改IP源，外网的目的地址不变。

做用：

在生产环境中，源地址转换可以让咱们公司的内网或者我的的主机能够访问外网并且不让本身的私网IP地址暴露在公网中，达到既能上网有隐藏ip防止被***的做用。

 

准备环境：

准备三台centos7的虚拟机

一台充当内网主机，ip地址为192.168.146.129

一台充当NAT Server,内网接口地址是192.168.146.120，

外网接口的地址是172.18.250.98.

一台充当外网，地址是172.18.250.195

 

实验拓扑图：

实验步奏：

一、 分别centos7上的3台主机上关闭firewad和清空iptables的nat

[root@centos7 ~]# systemctl stop firewalld

[root@centos7 ~]# iptables  -F

二、  在NDA Server 上打开内核转发

 [root@centos7 ~]# echo 1  >/proc/sys/net/ipv4/ip_forward

三、   在内网的机器上添加内网的网关，外网添加外网对应的网关

          route add default gw 192.168.146.130  #内网

          route add default gw 172.18.250.98    #外网

四、  在NDA Server上作SNAT源地址转换规则

         iptables -t nat -A POSTROUTING  -s 192.168.146.0/24 -j SNAT

        --to-source172.18.250.98

五、  测试

在内网的机器上测试，ping 公网的IP结果是能够PING通外网。

用外网ping内网，是不通的，说明实验成功了。

        [root@centos7 ~]#  ping 192.168.146.129

        connect: Network is unreachable

 

注意事项：

一、在NAT Server机器上必定要开启内核转发功能，就算作了策略，内网也ping不 通外网。

二、   SNAT源地址转换NAT表对应的链是POSTROUTING，不是PREROUTING链。

三、      SNAT源地址转换NAT是把源地址转换成外网网关的172.18.250.98，因此规则上填入的是--to-source 172.18.250.98