snat和dnat

Posted 2020-10-13

服务器的snat和dnat

实验目的：2台服务器，一台公网、另一台内网，2台服务器之间组内网。实现内网服务器出公网(snat)，通过公网端口映射到内网服务器相应端口(dnat)。

实验环境：

一、Windows篇（使用的windows server 2008R2系统）

1、安装相关服务

 

 

 

2、配置路由和远程访问

 右键 点击配置并启用路由和远程访问，操作前请关闭2台服务器的系统防火墙。

 

 

 

 

 

 

 

3、配置内网服务器

 这是公网服务器网卡配置：

 

 

 

 至此windows的snat配置完成

4、配置dnat

 在公网服务器上，右键公网网卡属性

 

 

5、测试dnat

 

 

 

二、Linux篇
1、2台linux服务器，一台有公网和内网，一台是纯内网，2台服务器之间组内网。

 

 

2、在公网服务器上配置SNAT

 打开公网服务器上的路由转发功能，sysctl -p使之生效。

 

3、开启iptables，并设置相关规则

iptables -t nat -A POSTROUTING -s 2.2.2.0/8 -j SNAT --to 10.57.82.58

 

 重启iptables

4、配置内网服务器网卡

 

5、测试

 

 

6、配置DNAT

 iptables -I INPUT -p tcp --dport 1234 -j ACCEPT

 iptables -I INPUT -p tcp --dport 22 -j ACCEPT

 iptables -t nat -A PREROUTING -i eth0 -d 10.57.82.58 -p tcp --dport 1234 -j DNAT --to-destination 2.2.2.2:22

 

7、测试dnat

 

 

8、总结

 MASQUERADE  地址伪装

 适用于外网ip地址不固定的情况，将SNAT规则改为MASQUERADE即可。

 如果是固定的公网ip，建议选择SNAT策略而不是MASQUERADE策略，以减少不必要的系统开销。