centos iptables如何配置NAT转发

在CentOS系统中，使用iptables配置NAT（网络地址转换）转发可以帮助你实现内部网络与外部网络之间的通信。以下是配置NAT转发的基本步骤：

1. 启用IP转发

首先，你需要启用内核的IP转发功能。编辑/etc/sysctl.conf文件，添加或修改以下行：

net.ipv4.ip_forward=1

然后运行以下命令使更改生效：

sysctl -p

2. 配置iptables规则

接下来，你需要配置iptables规则来实现NAT转发。假设你的内部网络是192.168.1.0/24，外部接口是eth0，内部接口是eth1。

2.1 清除现有规则

清除现有的iptables规则，以避免冲突：

iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X

2.2 设置默认策略

设置默认策略为DROP，以确保只有明确允许的流量可以通过：

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

2.3 允许已建立的连接

允许已建立的连接和相关的数据包通过：

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

2.4 配置NAT转发

配置SNAT（源地址转换）和DNAT（目的地址转换）规则：

# SNAT：将内部网络的源地址转换为外部接口的地址
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

# DNAT：将外部接口的特定端口转发到内部网络的特定主机和端口
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

3. 保存iptables规则

为了确保重启后规则仍然有效，你需要保存iptables规则。CentOS 7及以上版本使用firewalld，而CentOS 6使用iptables-services。

CentOS 7及以上版本

使用firewalld保存规则：

firewall-cmd --runtime-to-permanent
firewall-cmd --reload

CentOS 6

使用iptables-services保存规则：

service iptables save
service iptables restart

4. 验证配置

最后，验证你的NAT转发配置是否正确：

iptables -t nat -L -v -n

你应该能看到类似以下的输出，表明NAT规则已经正确配置：

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 MASQUERADE  all  --  *      eth0    192.168.1.0/24        0.0.0.0/0           

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  eth0   *       0.0.0.0/0            192.168.1.100:80     tcp dpt:http

通过以上步骤，你应该能够在CentOS系统上成功配置NAT转发。