Lab 5.1 Cấu hình SNAT và DNAT trên IPtables

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
I. Sơ đồ và yêu cầu
1. Sơ đồ


2. Yêu cầu
- PC trong LAN của Firewall có thể đi internet (SNAT)
- Cho phép các PC ngoài internet truy cập vào máy chủ Web (DNAT)
- Sơ đồ IP
PC1-WinxpIP: 10.2.2.20/24
Gateway: 10.2.2.1
Web server- Centos 6.5IP: 10.2.2.30/24
Gateway: 10.2.2.1
Firwall - Iptableseth0 IP: 10.2.2.1/24
eth1 IP: DHCP (172.16.1.105/24)
PC2-Windows 8IP: DHCP (172.16.1.100/24)


II. Triển khai

1. Cấu hình SNAT
- Thực hiện cấu hình NAT out để PC trong LAN có thể ra internet
- Trước tiên bạn cần bật tính năng định tuyến cho Firewall
echo '1' > /proc/sys/net/ipv4/ip_forward

- Để các PC trong LAN ra internet thì Firewall cần dùng SNAT và đặt rule ở chian POSTROUTING. Ngoài ra bạn cũng có thể dùng MASQUERADE cũng được.
- MASQUERADE: thường dùng cho các kết nối đến internet thông qua ppo hoặc IP động
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
hoặc
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.16.1.105

- Save file config và restart lại Iptables
service iptables save
service iptables restart

- Trên PC và máy chủ Web ping và truy cập internet thành công




2. Cấu hình DNAT

- Để thực hiện Public Webserver ra internet, bạn cần phải cấu hình DNAT và đặt rule ở chain PREROUTING
-A PREROUTING -d 172.16.1.105/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.2.30:80
- Save file config và restart lại Iptables
service iptables save
service iptables restart

- PC ngoài internet truy cập web server thông qua IP outside của Firewall thành công




3. Lỗi và fix
- Nếu bạn cấu hình rồi mà không chạy hãy xem lại trong file config "vi /etc/sysconfig/iptables" có dòng Nat bạn vừa đánh không.
- Nếu không có bạn phải cài thêm gói "iptables-devel" bằng lệnh:
[root@svuit ~]# yum -y install iptables*

 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu