1.DNAT目标地址转换基本概念以及应用

所谓的DNAT目标地址转换指的是修改请求包中的目标地址，很多情况下只有一个公网地址，但是内网服务器有几百台，想要通过一个公网地址访问到内网的所有服务器，就需要用到DNAT目标地址转换的功能了，接收到用户发送的数据包后，修改数据包中的目标地址，根据来源转发到具体的某台内网服务器中，如下图所示。

DNAT地址转换的应用场景：

• 端口映射。
• IP地址映射。

无论使用哪种类型的地址转换，防火墙主机一定要开始IP转换的功能。

临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

2.通过DNAT目标地址转换实现IP地址/端口映射

案例描述：

• 通过公司防火墙的公网地址，映射内网所有主机的22号端口，即使用一个公网地址根据不同的端口转发至不同主机的ssh服务上。
• 访问防火墙的888端口实际访问的是内网主机192.168.30.21。
• 访问防火墙的999端口实际访问的是内网主机192.168.30.22。

防火墙规则如下。

[root@jxl-1 ~]# iptables -t nat -A PREROUTING -d 192.168.20.20 -p tcp --dport 888 -j DNAT --to-destination 192.168.30.21:22

[root@jxl-1 ~]# iptables -t nat -A PREROUTING -d 192.168.20.20 -p tcp --dport 999 -j DNAT --to-destination 192.168.30.22:22