root
Specialist
I. Sơ đồ và yêu cầu
1. Sơ đồ
2. Yêu cầu
- PC trong LAN của Firewall có thể đi internet (SNAT)
- Cho phép các PC ngoài internet truy cập vào máy chủ Web (DNAT)
- Sơ đồ IP
II. Triển khai
1. Cấu hình SNAT
- Thực hiện cấu hình NAT out để PC trong LAN có thể ra internet
- Trước tiên bạn cần bật tính năng định tuyến cho Firewall
- MASQUERADE: thường dùng cho các kết nối đến internet thông qua ppo hoặc IP động
- Save file config và restart lại Iptables
2. Cấu hình DNAT
- Để thực hiện Public Webserver ra internet, bạn cần phải cấu hình DNAT và đặt rule ở chain PREROUTING
- PC ngoài internet truy cập web server thông qua IP outside của Firewall thành công
3. Lỗi và fix
- Nếu bạn cấu hình rồi mà không chạy hãy xem lại trong file config "vi /etc/sysconfig/iptables" có dòng Nat bạn vừa đánh không.
- Nếu không có bạn phải cài thêm gói "iptables-devel" bằng lệnh:
1. Sơ đồ
2. Yêu cầu
- PC trong LAN của Firewall có thể đi internet (SNAT)
- Cho phép các PC ngoài internet truy cập vào máy chủ Web (DNAT)
- Sơ đồ IP
[TABLE="class: grid, width: 500"]
[TR]
[TD]PC1-Winxp[/TD]
[TD]IP: 10.2.2.20/24
Gateway: 10.2.2.1[/TD]
[/TR]
[TR]
[TD]Web server- Centos 6.5[/TD]
[TD]IP: 10.2.2.30/24
Gateway: 10.2.2.1[/TD]
[/TR]
[TR]
[TD]Firwall - Iptables[/TD]
[TD]eth0 IP: 10.2.2.1/24
eth1 IP: DHCP (172.16.1.105/24)[/TD]
[/TR]
[TR]
[TD]PC2-Windows 8[/TD]
[TD]IP: DHCP (172.16.1.100/24)[/TD]
[/TR]
[/TABLE]
[TR]
[TD]PC1-Winxp[/TD]
[TD]IP: 10.2.2.20/24
Gateway: 10.2.2.1[/TD]
[/TR]
[TR]
[TD]Web server- Centos 6.5[/TD]
[TD]IP: 10.2.2.30/24
Gateway: 10.2.2.1[/TD]
[/TR]
[TR]
[TD]Firwall - Iptables[/TD]
[TD]eth0 IP: 10.2.2.1/24
eth1 IP: DHCP (172.16.1.105/24)[/TD]
[/TR]
[TR]
[TD]PC2-Windows 8[/TD]
[TD]IP: DHCP (172.16.1.100/24)[/TD]
[/TR]
[/TABLE]
II. Triển khai
1. Cấu hình SNAT
- Thực hiện cấu hình NAT out để PC trong LAN có thể ra internet
- Trước tiên bạn cần bật tính năng định tuyến cho Firewall
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]echo '1' > /proc/sys/net/ipv4/ip_forward[/TD]
[/TR]
[/TABLE]
- Để các PC trong LAN ra internet thì Firewall cần dùng SNAT và đặt rule ở chian POSTROUTING. Ngoài ra bạn cũng có thể dùng MASQUERADE cũng được.[TR]
[TD]echo '1' > /proc/sys/net/ipv4/ip_forward[/TD]
[/TR]
[/TABLE]
- MASQUERADE: thường dùng cho các kết nối đến internet thông qua ppo hoặc IP động
[TABLE="class: outer_border, width: 700"]
[TR]
[TD]iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
hoặc
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.16.1.105[/TD]
[/TR]
[/TABLE]
[TR]
[TD]iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
hoặc
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.16.1.105[/TD]
[/TR]
[/TABLE]
- Save file config và restart lại Iptables
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]service iptables save
service iptables restart[/TD]
[/TR]
[/TABLE]
[TR]
[TD]service iptables save
service iptables restart[/TD]
[/TR]
[/TABLE]
- Trên PC và máy chủ Web ping và truy cập internet thành công
2. Cấu hình DNAT
- Để thực hiện Public Webserver ra internet, bạn cần phải cấu hình DNAT và đặt rule ở chain PREROUTING
[TABLE="class: outer_border, width: 800"]
[TR]
[TD]-A PREROUTING -d 172.16.1.105/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.2.30:80[/TD]
[/TR]
[/TABLE]
- Save file config và restart lại Iptables[TR]
[TD]-A PREROUTING -d 172.16.1.105/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.2.30:80[/TD]
[/TR]
[/TABLE]
[TABLE="class: outer_border, width: 500"]
[TR]
[TD]service iptables save
service iptables restart
[/TD]
[/TR]
[/TABLE]
[TR]
[TD]service iptables save
service iptables restart
[/TD]
[/TR]
[/TABLE]
- PC ngoài internet truy cập web server thông qua IP outside của Firewall thành công
3. Lỗi và fix
- Nếu bạn cấu hình rồi mà không chạy hãy xem lại trong file config "vi /etc/sysconfig/iptables" có dòng Nat bạn vừa đánh không.
- Nếu không có bạn phải cài thêm gói "iptables-devel" bằng lệnh:
[TABLE="class: outer_border, width: 500"]
[TR]
[TD][root@svuit ~]# yum -y install iptables*
[/TD]
[/TR]
[/TABLE]
[TR]
[TD][root@svuit ~]# yum -y install iptables*
[/TD]
[/TR]
[/TABLE]