一对一 NAT

beyes

现在假设路由上安装了 3 个网卡，分别是 eth0, eth1, eth2 。

假设内网有两台服务器，其内网 IP 分别为 192.168.0.1 （WEB 服务器）和 192.168.0.2（MAIL 服务器） ，服务器接在 eth1 所在网段。

内网其它普通主机位于 eth2 所在网段 192.168.1.0/24 。

eth0 接公网，上面有 3 个公网 IP，分别是 10.0.1.200， 10.0.1.201， 10.0.1.202 。

其中 10.0.1.200 用来为 eth2 网段中的主机进行一对多 NAT 上网服务。

10.0.1.201 用来分配给 WEB 服务器，10.0.1.202 用来分配给 MAIL 服务器，这一对一的分配就是一对一 NAT 。

在一对一 NAT 的环境中，应当考虑 “进入” 和 “出去” 两部分，下面具体讨论。

1. 从外往内访问 WEB 服务器

1. iptables -t nat -A PREROUTING -i eth0 -d 10.0.1.201 -j DNAT --to 192.168.0.1

复制代码

外网数据包访问 WEB 服务器，它认准的目的地址是 WEB 服务器的公网 IP 10.0.1.201，当数据包到达该 IP 后，需要修改目的地址为 WEB 服务器的内网地址 192.168.0.1，因此这里需要用到 DNAT 。也正是因为用了 DNAT，那么必须将规则加入 PREROUTING 链。因为在数据包的流向是：PREROUTING 链 ---> 路由表 ---> WEB 服务进程。如果不在 PREROUTING 链中修改目的 IP 为内网 IP，那么路由表就不知道要将访问数据包往哪里投递，从而造成访问失败。

2. WEB 服务器上由内往外发送数据包

1. iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.1 -j SNAT --to 10.0.1.201

复制代码

这一规则不一定需要。如果 WEB 服务器仅是提供 WEB 服务，其它的东西都不要联网，那么只要设置上面第 1 条规则就足够了。如果像管理员也要从WEB 服务器上访问因特网，那么需要添加上面的 “出去” 规则。由于要将源 IP 地址 192.168.0.1 最终变为公网 IP 10.0.1.201，因此需要用到 SNAT，因此这里需要将规则加入 POSTROUTING 链中。