Centos7做NAT路由器配置

准备三台实验机器：

模拟内网：Ubuntu14.04  192.168.104.10

模拟外网：Ubuntu14.04  10.20.20.100

模拟nat服务器（作为网关）：centos7  192.168.104.2  10.20.20.2

环境：vsphere虚拟化平台

1.配置内网服务器网络（关闭内网服务器防火墙）

2.配置外网服务器网络（关闭外网服务器防火墙）

3.配置nat服务器

4.配置好服务器网络之后，配置nat服务器的防火墙和路由规则（重要）

1）配置路由

2）配置防火墙（重点）

SNAT：内网访问外网，作用于nat表POSTROUTING链

DNAT：外网访问内网，作用于nat表PREROUTING链

首先关闭自带防火墙（systemctl  stop  firewalld）

清除之前所有的规则：（nat会使用到filter表和nat表）

         iptables  -X & iptables  -F &iptables  -Z （清理filter表的规则，不加 –t 就默认filter表）

         iptables -X -t nat  & iptables  -F  -tnat & iptables  -Z  -t nat （清理filter表的规则）

实验一：内网通过nat访问外网

1.iptables -P FORWARD DROP #关闭forward转发链，安全。

2.iptables -A FORWARD –m state –stateESTABLISHED,RELATED –j ACCEPT #使用状态模块，放行相关的和建立连接的请求

3.iptables -A FORWARD -m state-state NEW -s 192.168.104.0/24 -j ACCEPT #允许内网通过网关访问外网，注意其实到这步就可以实现内网访问外网，但是如果在外网上抓包会看到源地址并没有转换，所以这样不够完善。

4.iptables -t nat -APOSTROUTING -s 192.168.104.0/24 -o ens192 -j MASQUERADE

#将192.168.104段的地址伪装成nat出口地址，MASQUERADE这个值其实就是IP伪装成封包出去（-o）的那块网卡上的IP。其实上面的语句和iptables -t nat-A POSTROUTING -s 192.168.104.0/24 -j SNAT --to-source 10.20.20.2 效果是一样的。再次在外网服务器上抓包取证。

实验二：外网通过nat访问内网服务（ssh为例）

1.iptables -P FORWARD DROP #关闭forward转发链，安全。

2.iptables -A FORWARD –m state –stateESTABLISHED,RELATED –j ACCEPT #使用状态模块，放行相关的和建立连接的请求

3.iptables -t nat -APREROUTING -p tcp -i ens192 --dport 10222 -j DNAT --to-destination192.168.104.10:22  #外部请求nat服务器某个端口然后DNAT跳转到内网服务器上

4.iptables -A FORWARD -iens192 -o ens160 -d 192.168.104.10 -p tcp --dport 22 -j ACCEPT

# 外部请求进到nat服务器，然后经过nat表的PREROUTING链到达filter表的FORWARD链，然后放行目的地址的22端口，在内网服务器上抓包取证。

总结：

在linux nat中，被转发的包实际经过了以下几个  表-链 的组合

1．  mangle  --PREROUTING

2．  nat         --PREROUTING                            #用于外部访问内部服务的NAT

3．  mangle      --FORWARD                                 

4．  filter           --FORWARD     

5．  mangle      --POSTROUTING

6．  nat              --POSTROUTING                         #用于内部浏览外部的NAT

nat一般都是在filter表的forward链和nat表的prerouting，postrouting链上做规则设定。