在Ubuntu系统中,使用iptables实现NAT(网络地址转换)功能通常涉及配置PREROUTING、POSTROUTING和FORWARD链。以下是实现NAT的基本步骤:
启用IP转发:
编辑 /etc/sysctl.conf 文件,找到并修改以下行:
net.ipv4.ip_forward=1
然后运行以下命令使更改生效:
sudo sysctl -p
配置iptables规则: 假设你的内部网络是192.168.1.0/24,网关是192.168.1.1,外部接口是eth0。
SNAT(源地址转换):将内部网络的私有IP地址转换为外部接口的IP地址。
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
DNAT(目的地址转换):将外部请求的目标地址转换为内部网络的某个IP地址。
sudo iptables -t nat -A PREROUTING -d <外部IP> -p tcp --dport <端口> -j DNAT --to-destination 192.168.1.100:<端口>
FORWARD链:允许转发内部网络的流量。
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
保存iptables规则:
为了确保重启后规则仍然有效,可以使用 iptables-persistent 工具保存规则。
安装 iptables-persistent:
sudo apt-get install iptables-persistent
保存当前规则:
sudo netfilter-persistent save
sudo netfilter-persistent reload
假设你的外部IP地址是203.0.113.5,你想将外部访问203.0.113.5:80的流量转发到内部服务器192.168.1.100:80。
启用IP转发:
sudo sysctl -w net.ipv4.ip_forward=1
配置SNAT:
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
配置DNAT:
sudo iptables -t nat -A PREROUTING -d 203.0.113.5 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
配置FORWARD链:
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
保存规则:
sudo netfilter-persistent save
sudo netfilter-persistent reload
通过以上步骤,你就可以在Ubuntu系统上使用iptables实现NAT功能。