iptables防火墙的SNAT和DNAT

一、SNAT源地址转换。

1、原理：在路由器后（PSOTROUTING）将内网的ip地址修改为外网网卡的ip地址。

2、应用场景：共享内部主机上网。

3、设置SNAT：网关主机进行设置。

（1）设置ip地址等基本信息。

（2）开启路由功能：

sed -i '/ip-forward/s/0/1/g'

sysctl -p

（3）编写规则：

iptables -t nat -I POSTROUTING -o 外网网卡 -s 内网网段 -j SNAT --to-source 外网ip地址 ##适用于外网ip地址固定场景

iptables -t nat -I POSTROUTING -o 外网网卡 -s 内网网段 -j MASQUERADE ##适用于共享动态ip地址上网（如adsl拨号，dhcp获取外网ip）

（4）做好安全控制：使用FORWARD时机进行控制，严格设置INPUT规则。

二、DNAT目的地址转换：

1、原理：在路由前（PREROUTING）将来自外网访问网关公网ip及对应端口的目的ip及端口修改为内部服务器的ip及端口，实现发布内部服务器。

2、应用场景：发布内部主机服务。

3、设置DNAT：网关主机上设置。

（1）设置ip、开启路由、设置SNAT

（2）编写防火墙规则：

iptables -t nat -I PREROUTING -i 外网网卡 -d 外网ip tcp --dport 发布的端口 -j DNAT --to-destination 内网服务ip:端口