如何用iptables实现NAT

一、要求使用SNAT技术使172.16.1.0网段从服务器eth0口192.168.100.83地址为源地址访问其

他网络：

1、启用内核转发功能

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1 --1等于转发

sysctl -p--生效内核修改

2、防火墙中使能SNAT转换

iptables -A POSTROUTING -s 172.16.1.0/255.255.255.0 -o eth0 -j SNAT--to-source

192.168.100.83

二、要求使用DNAT技术做端口映射

1、启用内核转发功能

vi /etc/sysctl.conf

net.ipv4.ip_forward = 1 --1等于转发

sysctl -p--生效内核修改

2、防火墙中使能DNAT转换

iptables -t nat -APREROUTING -i eth0 -d 192.168.100.83 -p tcp --dport 21 -j DNAT

--to-destination172.16.1.2

iptables -t nat -APREROUTING -i eth0 -d 192.168.100.83 -p tcp --dport 20 -j DNAT

--to-destination172.16.1.2

如果你要把访问60.1.1.1:80的数据包转发到Lan内web server,用下面的命令

iptables -t nat -A PREROUTING -d 60.1.1.1 -p tcp --dport 80 -j DNAT --to 10.1.1.1:80

1.打开内核的路由功能

[root@localhost ~]# echo "1">/proc/sys/net/ipv4/ip_forward

2.实现IP伪装

[root@localhost ~]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

---