2.配置SNAT实现共享上网 问题 本案例要求熟悉SNAT策略的典型应用场景,完成以下任务: 1)搭建一套“局域网-Linux网关-互联网”的案例环境 2)在Linux网关上配置SNAT策略,实现局域网主机的共享上网 3)修改现有的SNAT策略,验证MASQUERAD伪装的有效性 方案 采用三台RHEL6虚拟机svr5、gw1、pc120,如图-2所示。其中,虚拟机svr5作为局域网络的测试机,接入NAT网络(virbr0);虚拟机pc120作为Internet的测试机,接入隔离网络(virbr1);虚拟机gw1作为网关/路由器,配置eth0、eth1两块网卡,分别接入两个网络virbr0、virbr1。 图-2 内网测试机svr5还需要将默认网关指向Linux网关的内网接口192.168.4.1: [root@svr5 ~]# route -n | grep UG 0.0.0.0 192.168.4.1 0.0.0.0 UG 0 0 0 eth0 网关gw1上开启路由转发: [root@gw1 ~]# vim /etc/sysctl.conf net.ipv4.ip_forward = 1 [root@gw1 ~]# sysctl -p net.ipv4.ip_forward = 1 … … 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建一套基于“局域网-Linux网关-互联网”的案例环境 沿用练习一的环境,稍作调整。 停用虚拟机svr5、gw1、pc120上的iptables服务,清空防火墙规则: [root@gw1 ~]# service iptables stop iptables:将链设置为政策 ACCEPT:filter [确定] iptables:清除防火墙规则: [确定] iptables:正在卸载模块: [确定] 去掉外网测试机pc120的路由设置: [root@pc120 ~]# route del default gw 174.16.16.1 [root@pc120 ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 174.16.16.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 步骤二:在Linux网关上配置SNAT策略,实现局域网主机的共享上网 1)在网关启用SNAT转换之前,内网无法访问外网 比如从内网机svr5尝试访问外网机pc120时,因为pc120缺少到svr5所在私网网段的路由记录,所以访问会失败。这个与正常的互联网寻址情况是相吻合的,即私网地址不在互联网中路由。 使用elinks测试Web访问的情况如下: [root@svr5 ~]# elinks --dump http://174.16.16.120 … … ^C //长时间无响应,按Ctrl+c键中止 [root@svr5 ~]# 2)在gw1上添加SNAT转换规则 添加的规则应该在nat表内,将来自局域网段192.168.4.0/24、将要从外网接口eth1出去的数据包,在路由选择之后将数据包的源IP地址修改为网关gw1的外网接口的IP地址174.16.16.120: [root@gw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j SNAT --to-source 174.16.16.1
[root@gw1 ~]# iptables -t nat -nL POSTROUTING Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all – 192.168.4.0/24 0.0.0.0/0 to:174.16.16.1 3)再次测试从内网访问外网 从内网机svr5上访问外网机pc120的网站,可以成功看到网页: [root@svr5 ~]# elinks --dump http://174.16.16.120 Test Page 120. 但是在检查pc120的Web访问日志时,可以看到来访的客户机地址其实是网关gw1的外网地址,说明网关已经通过SNAT规则把Web请求包的源地址192.168.4.5改成了174.16.16.1,实现了局域网主机共享网关的公网IP地址上网: [root@pc120 ~]# tail -1 /var/log/httpd/access_log 174.16.16.1 - - [19/May/2015:14:14:05 +0800] “GET / HTTP/1.1” 200 15 “-” “ELinks/0.12pre5 (textmode; Linux; -)” 步骤三:修改现有的SNAT策略,验证MASQUERAD伪装的有效性 1) 确认网关gw1上现有的SNAT策略 [root@gw1 ~]# iptables -t nat -nL POSTROUTING Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all – 192.168.4.0/24 0.0.0.0/0 to:174.16.16.1 2) 将网关gw1上的SNAT策略替换为MASQUERADE伪装策略 可以删除原策略,重新设置新策略,匹配条件与SNAT差不多,但是处理方式修改为MASQUERADE即可: [root@gw1 ~]# iptables -t nat -D POSTROUTING 1 [root@gw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j MASQUERADE
[root@gw1 ~]# iptables -t nat -nL POSTROUTING Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all – 192.168.4.0/24 0.0.0.0/0 3)再次测试从内网访问外网 从内网机svr5上访问外网机pc120的网站,还是可以成功看到网页: [root@svr5 ~]# elinks --dump http://174.16.16.120 Test Page 120.
