1.DNAT目标地址转换基本概念以及应用

所谓的DNAT目标地址转换指的是修改请求包中的目标地址,很多情况下只有一个公网地址,但是内网服务器有几百台,想要通过一个公网地址访问到内网的所有服务器,就需要用到DNAT目标地址转换的功能了,接收到用户发送的数据包后,修改数据包中的目标地址,根据来源转发到具体的某台内网服务器中,如下图所示。
在这里插入图片描述

DNAT地址转换的应用场景:

  • 端口映射。
  • IP地址映射。

无论使用哪种类型的地址转换,防火墙主机一定要开始IP转换的功能。

临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启
echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf
sysctl -p

2.通过DNAT目标地址转换实现IP地址/端口映射

案例描述:

  • 通过公司防火墙的公网地址,映射内网所有主机的22号端口,即使用一个公网地址根据不同的端口转发至不同主机的ssh服务上。
  • 访问防火墙的888端口实际访问的是内网主机192.168.30.21。
  • 访问防火墙的999端口实际访问的是内网主机192.168.30.22。

防火墙规则如下。

[root@jxl-1 ~]# iptables -t nat -A PREROUTING -d 192.168.20.20 -p tcp --dport 888 -j DNAT --to-destination 192.168.30.21:22

[root@jxl-1 ~]# iptables -t nat -A PREROUTING -d 192.168.20.20 -p tcp --dport 999 -j DNAT --to-destination 192.168.30.22:22
Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐