|
DNAT策略概述:
DNAT策略的典型應用環(huán)境
在Internet中發(fā)布位于企業(yè)局域網(wǎng)內(nèi)的服務器
DNAT策略的原理
目標地址轉(zhuǎn)換��,Destination Network Address Translation�����,是Linux防火墻的另一種地址轉(zhuǎn)換操作���,也是iptables命令中的一種數(shù)據(jù)包控制類型��,其作用是根據(jù)指定條件修改數(shù)據(jù)包的目標IP地址�����、目標端口����。
SNAT用來修改源IP地址�����,而DNAT用來修改目標IP地址、目標端口���;SNAT只能用在nat表的POSTROUTING鏈����,而DNAT只能用在nat表的PREROUTING鏈和OUTPUT鏈(或被其調(diào)用的鏈)中���。
DNAT策略的應用:
前提條件:
-
局域網(wǎng)的Web服務器能夠訪問Internet
-
網(wǎng)關的外網(wǎng)IP地址有正確的DNS解析記錄
-
Linux網(wǎng)關支持IP路由轉(zhuǎn)發(fā)
實現(xiàn)方法:
編寫DNAT轉(zhuǎn)換規(guī)則:
實驗部署:
實驗描述:
1.要求主機型防火墻(在192.168.10.2)上配置:
只提供web���、ssh服務;
192.168.10.2可以訪問網(wǎng)絡上其他主機��;
2.網(wǎng)絡型防火墻(在網(wǎng)關主機配置)����。
局域網(wǎng)內(nèi)主機共享一個共有IP地址訪問Internet;
Internet可以訪問公司的網(wǎng)站��;
管理員在外網(wǎng)可遠程管理公司web服務器(不使用標準端口)��;
不允許局域網(wǎng)用戶ping到外網(wǎng)����;
防火墻本機不提供任何訪問���,但可訪問其他主機。
實驗步驟:
a.只提供web���、ssh服務�;192.168.10.2可以訪問網(wǎng)絡上其他主機:
[root@webssh ~]# iptables -P INPUT DROP
[root@webssh ~]# iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@webssh ~]# iptables -I INPUT -p tcp --dport 80 -j ACCEPT
[root@webssh ~]# iptables -I INPUT -p tcp --dport 22 -j ACCEPT
b.局域網(wǎng)內(nèi)主機共享一個共有IP地址訪問Internet��;
[root@gateway ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 173.16.16.1
Internet可以訪問公司的網(wǎng)站���;
[root@gateway ~]# iptables -t nat -A PREROUTING -i eth0 -d 173.16.16.1 -p tcp--dport 80 -j DNAT --to 192.168.10.2
c:正確設置DNAT策略:
管理員在外網(wǎng)可遠程管理公司web服務器(不使用標準端口);
[root@gateway ~]# iptables -t nat -A PREROUTING -i eth0 -d 173.16.16.1 -p tcp--dport 2346 -j DNAT --to-destination 192.168.10.2:22
不允許局域網(wǎng)用戶ping到外網(wǎng)���;
[root@gateway ~]# iptables -A FORWARD -p icmp -j DROP
防火墻本機不提供任何訪問���,但可訪問其他主機。
[root@gateway ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
在外網(wǎng)服務器開啟httpd服務并添加主頁內(nèi)容:
在網(wǎng)關服務器上開啟路由轉(zhuǎn)發(fā)功能:
整個實驗到此就完成了���,實驗要求一一滿足��,根據(jù)需求還可以實現(xiàn)更多的功能��,有待大家去發(fā)現(xiàn)�。
|
