Iptables防火墙（SNAT和DNAT）应用示例

实验拓扑图：

实验要求：

1、 如图所示，将网络连通，注意在外部服务器上不用配置默认网关。

2、分别在内部和外部服务器上搭建web服务，修改网页，如

内部web服务器的网页内容：

echo “192.168.1.10” > /var/www/html/index.html

在本机访问网页，测试能否成功访问。

步骤：

在网站服务器启动httpd服务

Service httpd start

在访问主页写入内容

echo 192.168.1.10 > /var/www/html/index.html

在本机测试如下图：

外网主机同上，测试结果如下图：

3、分别启动网站服务器和网关服务器的SSh，并把网关ssh服务端口改为2345。

步骤：

启动sshd服务: service sshd restart

进入网关服务器的ssh主配置文件vim /etc/ssh/sshd_confing

4、清空三台服务器的防火墙默认配置：service iptables stop

5、 SNAT（源地址转换）：要求内部主机192.168.1.10能访问外部服务器的网站。

验证：在外部服务器通过查看web的访问日志。

步骤：

SNAT源地址转换命令如下：

到网站服务器访问外网

查看外网的Web访问日志，是否是200.0.0.1访问

6、 DNAT（目标地址转换）：

1）外部主机通过http://200.0.0.1能够访问到内部服务器的网站。

在网关服务器上配置DANT

验证可以访问

2）外部主机使用ssh –p 2345 200.0.0.1 能够远程管理网关服务器。

3）外部主机使用ssh -p 2222 200.0.0.1 能够远程管理内部192.168.1.10服务器。

在网关服务器配置DNAT

到外网验证可以登录远程登录

7、在网关服务器上对防火墙进行保存和备份。

保存防火墙规则：

备份防火墙规则：iptables -save

8、在网关服务器上写一个防火墙的脚本。实现上面的功能。

脚本提示：路由转发，清空所有防火墙规则，SNAT，DNAT。

设置防火墙开机自动关闭，设置脚本开启自动执行。

脚本如下：

设置脚本开机自启动只需将脚本路径写入/etc/rc.local