centos里iptable的NAT

用centos5.3配nat死活都不行，參考N多配置方法都無(wú)濟(jì)于事。

成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站制作、黃州網(wǎng)絡(luò)推廣、成都微信小程序、黃州網(wǎng)絡(luò)營(yíng)銷、黃州企業(yè)策劃、黃州品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠(chéng)為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供黃州建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18982081108，官方網(wǎng)址：www.muchs.cn

覺(jué)得是操作系統(tǒng)那里出了問(wèn)題，又用了6.6，里面有個(gè)配置的圖形引導(dǎo)界面，很容易就搞定了。

后來(lái)在英文網(wǎng)頁(yè)里發(fā)現(xiàn)

echo "1" > /proc/sys/net/ipv4/ip_forward

這樣就可以了。尋找N多地方，終于知道這是在OS系統(tǒng)默認(rèn)不轉(zhuǎn)發(fā)流量的時(shí)候，強(qiáng)制轉(zhuǎn)發(fā)的方法。

常態(tài)的讓系統(tǒng)轉(zhuǎn)發(fā)需要修改配置文件。

/etc/sysctl.conf

里面

net.ipv4.ip_forward = 1

不起作用是因?yàn)槟J(rèn)值是0，disable，換成1就是enable了。

sysctl -p

更新，當(dāng)然重啟也可以。

chkconfig iptables on

常態(tài)開(kāi)啟防火墻，作為服務(wù)。

然后才是/etc/sysconfig/iptables文件的配置。

用添加命令也是實(shí)現(xiàn)，這里eth0為外，eth2為內(nèi)部

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

這就是內(nèi)部上外部不做限制，這對(duì)于外網(wǎng)卡的IP地址為DHCP的時(shí)候很好用。

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 172.26.1.79

這是內(nèi)部網(wǎng)192.168.1.0/24，到外部，替換源地址為172.26.1.79

讓外界訪問(wèn)內(nèi)部服務(wù)器，比如說(shuō)遠(yuǎn)程桌面

iptables -t nat PREROUTING -i eth0 -p tcp --dport 3389 -j DNAT --to-destination 192.168.1.2

-i eth0是進(jìn)入的網(wǎng)卡，i是input的意思；-p tcp，協(xié)議是tcp； --dport 3389端口號(hào)是3389，--to-destination是內(nèi)部服務(wù)器的IP地址

僅僅是這些還不夠，上面是nat表，-t是指定table的，

在filter表里也需要配置

iptables -t filter -A FORWARD -i eth0 -m state --state NEW -m tcp -p tcp -d 192.168.1.2 --dport 3389 -j ACCEPT

不在轉(zhuǎn)發(fā)鏈路里放行到內(nèi)部的流量是不行的。為什么這里的-d是192.168.1.2，因?yàn)樵谇懊娴膎at表里 PREROUTING已經(jīng)進(jìn)行了NAT路由，到達(dá)FORWARD處理流程的時(shí)候，目的地址已經(jīng)從外網(wǎng)卡IP地址變成192.168.1.2，進(jìn)入內(nèi)網(wǎng)當(dāng)然只能用內(nèi)網(wǎng)IP地址過(guò)濾了。

還要轉(zhuǎn)發(fā)一些流量許可

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -o eth0 -j ACCEPT

不要用系統(tǒng)自己帶的那個(gè)防火墻圖形配置，一用就出RH-Firewall-1-INPUT，搞的自己都亂了。

另外用5.3速度很慢，遠(yuǎn)程桌面接進(jìn)去，畫面都不動(dòng)，看了5.3默認(rèn)封掉轉(zhuǎn)發(fā)是有原因的。

用6.6就沒(méi)啥問(wèn)題了，速度還可以接受。

下面是一些網(wǎng)絡(luò)的配置命令

如果開(kāi)始只有一個(gè)網(wǎng)卡，后來(lái)添加的，那么只有

/etc/sysconfig/network-scripts/ifcfg-eth0

沒(méi)有ifcfg-eth2，可以復(fù)制ifcfg-eth0為ifcfg-eth2，然后修改里面的內(nèi)容。

需要去查看網(wǎng)卡硬件文件

/etc/udev/rules.d/70-persistent-net.rules

確認(rèn)里面有新增加的網(wǎng)卡，記錄下mac地址，

DEVICE=eth2

NAME="System eth2"
HWADDR=00:50:56:A0:40:18
IPADDR=192.168.1.1
PREFIX=24
GATEWAY=
DNS1=
DOMAIN=

修改項(xiàng)，ip地址，掩碼，HWADDR就是mac地址，如果版本高，有UUID，改的和eth0不同就可以。

內(nèi)網(wǎng)卡不設(shè)網(wǎng)關(guān)。PREFIX是前綴，和掩碼是一個(gè)意思，不同寫法。os版本不同，5的寫NETMASK，6就是PREFIX

iptables -F

清除預(yù)設(shè)表filter中的所有規(guī)則鏈的規(guī)則

iptables -X

清除預(yù)設(shè)表filter中使用者自定鏈中的規(guī)則

/etc/rc.d/init.d/iptables save 或者 service iptables save

保存命令打進(jìn)去的配置，不然重啟就沒(méi)了

service iptables restart

重啟服務(wù)

分享名稱：centos里iptable的NAT
網(wǎng)站URL：http://www.muchs.cn/article48/pdhphp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開(kāi)發(fā)、品牌網(wǎng)站設(shè)計(jì)、App設(shè)計(jì)、自適應(yīng)網(wǎng)站、網(wǎng)站營(yíng)銷、網(wǎng)站排名

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容