14.1、环境说明:

1、架构图:

2、架构图说明:

局域网中的两台计算机只能有一台能够访问外网,而这两台计算机之间能相互通信,那么可以配置能访问外网的

那台服务器实现路由器的功能,即实现其他机器的NAT转换,从而使所有机器都能访问外网。

3、说明:

Centos 7 默认的防火墙是 firewalld,安装iptables之前需关闭Firewalld。

(1)停止firewalld 防火墙:

systemctl stop firewalld

(2)禁用firewalld防火墙开机自启动:

systemctl disable firewalld

(3)安装iptables:

yum install -y iptables-services

(4)将原有的 iptables 文件保存一份,避免之前设置的策略丢失:

cp -a /etc/sysconfig/iptables /etc/sysconfig/iptables.bak

14.2、外网服务器A(controller-node1)配置:

1、虚拟机网卡:

2、开启路由转发功能:

(1)临时生效,服务器重启后失效的命令:

[root@controller-node1 ~]# echo 1 >/proc/sys/net/ipv4/ip_forward

(2)长久生效的命令如下。

1)编辑/etc/sysctl.conf 将 net.ipv4.ip_forward = 0 修改为 net.ipv4.ip_forward = 1:

[root@controller-node1 ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

2)执行sysctl -p命令使配置生效:

[root@controller-node1 ~]# sysctl -p

3、防火墙配置:

(1)启动防火墙,并设置为开机自启:

[root@controller-node1 ~]# systemctl start iptables.service

[root@controller-node1 ~]# systemctl enable iptables.service

(2)清空防火墙规则并添加允许ssh远程进站规则:

[root@controller-node1 ~]# iptables -F

[root@controller-node1 ~]# iptables -X

[root@controller-node1 ~]# iptables -Z

[root@controller-node1 ~]# iptables -A INPUT -p tcp -d 172.16.1.90 --dport 22 -j ACCEPT

(3)链表访问设置:

[root@controller-node1 ~]# iptables -P INPUT DROP

[root@controller-node1 ~]# iptables -P OUTPUT ACCEPT

[root@controller-node1 ~]# iptables -P FORWARD DROP

(4)添加进站规则:

[root@controller-node1 ~]# iptables -A INPUT -p icmp -j ACCEPT

#允许ping

[root@controller-node1 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 该规则表示允许进入的数据包只能是刚刚我发出去的数据包的回应

(5)添加 nat 规则(源地址转换):

[root@controller-node1 ~]# iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j SNAT --to-source 10.0.0.90

# -o eth0:指定在共享上网哪个网卡接口上做NAT地址转换,外网网卡。

# -s 172.16.1.0/24:指定将哪些内网网段进行映射转换。

# -j SNAT:将源地址进行转换变更。

# --to-source 10.0.0.90:将源地址映射为什么IP地址,代表外网ip。

# 如果上网的IP是动态IP,则使用以下规则:

# iptables -t nat -A POSTROUTING -o eth0 -s 172.16.1.0/24 -j MASQUERADE

# 如果是通过ADSL上网,且公网IP是动态IP,则使用以下规则:

# iptables -t nat -A POSTROUTING -o ppp0 -s 172.16.1.0/24 -j MASQUERADE

(6)添加转发规则:

[root@controller-node1 ~]# iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

[root@controller-node1 ~]# iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

(7)保存防火墙规则并重启:

[root@controller-node1 ~]# service iptables save

[root@controller-node1 ~]# systemctl restart iptables.service

(8)查看防火墙规则:

1)查看默认表规则:

2)查看nat表规则:

14.3、内网服务器B(slave-node1)配置:

1、虚拟机网卡:

2、防火墙配置:

(1)启动防火墙,并设置为开机自启:

[root@slave-node1 ~]# systemctl start iptables.service

[root@slave-node1 ~]# systemctl enable iptables.service

(2)清空防火墙规则并添加允许ssh远程进站规则:

[root@slave-node1 ~]# iptables -F

[root@slave-node1 ~]# iptables -X

[root@slave-node1 ~]# iptables -Z

[root@slave-node1 ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT

(3)链表访问设置:

[root@slave-node1 ~]# iptables -P INPUT DROP

[root@slave-node1 ~]# iptables -P OUTPUT ACCEPT

[root@slave-node1 ~]# iptables -P FORWARD DROP

(4)添加进站规则:

[root@slave-node1 ~]# iptables -A INPUT -p icmp -j ACCEPT

# 允许ping

[root@slave-node1 ~]# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# 该规则表示允许进入的数据包只能是刚刚我发出去的数据包的回应

(5)保存防火墙规则并重启:

[root@slave-node1 ~]# service iptables save

[root@slave-node1 ~]# systemctl restart iptables.service

(6)查看防火墙默认表规则:

3、在需要上外网的服务器B(slave-node1)上,修改内网网卡eth0的默认网关为172.16.1.90:

[root@slave-node1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=static

DEFROUTE=yes

IPV4_FAILURE_FATAL=no

IPV6INIT=yes

IPV6_AUTOCONF=yes

IPV6_DEFROUTE=yes

IPV6_FAILURE_FATAL=no

IPV6_ADDR_GEN_MODE=stable-privacy

NAME=eth0

DEVICE=eth0

ONBOOT=yes

IPADDR=172.16.1.91

PREFIX=24

GATEWAY=172.16.1.90

IPV6_PRIVACY=no

DNS1=114.114.114.114

4、重启网卡:

[root@slave-node1 ~]# systemctl restart network.service

5、查看路由:

14.4、测试:

1、B(slave-node1)服务器ping 百度,能ping 同,说明测试成功:

2、B(slave-node1)服务器安装httpd服务成功,说明测试成功:

[root@slave-node1 ~]# systemctl start httpd

#启动httpd

[root@slave-node1 ~]# netstat -tunlp|grep 80

tcp6 0 0 :::80 :::* LISTEN 1574/httpd

14、iptables_nat源地址转换(内网共享上网)的更多相关文章

  1. iptables 实现内网转发上网

    介绍 通过iptables做nat转发实现所有内网服务器上网. 操作 首先开启可以上网的服务器上的内核路由转发功能.这里我们更改/etc/sysctl.conf 配置文件. [root@web1 /] ...

  2. 通过nat让内网机器上网

    让内网机器访问不通机房的机器,架构如下 (172.16.10.5)  ----- (172.17.9.109 可以出外网,开启路由转发)  -------  (内网 192.168.36.19 能pi ...

  3. CentOS squid代理内网主机上网 openVpn配置

  4. 突破内网限制上网(ssh+polipo)

    最近到客户这里来做项目,发现客户对网络的把控实在严格,很多网站都不能访问到,搜索到的技术文档也屏蔽了.突然想到了FQ工具的原理,刚好自己也有台服务器在外头,部署个Polipo代理然后用ssh隧道连接. ...

  5. iptables 端口转发--内网实现上网

    iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 118.x.x.xiptables -A FORWARD -s ...

  6. 【NetWork】外网和内网

    外网和内网 2019-11-16  11:22:37  by冲冲 1.内网 ① 内网的电脑们,需要经过交换机.路由器,才能访问Internet(外网). ② 因为外网IP比较紧张,现在的电脑普及使得外 ...

  7. 定位内网中毒主机IP经历小记

    一.事件起因 客户向公司反映使用IDS设备捕获到木马上线域名需要处理,虽然是逆向岗但还是有预感未来应急响应的工作只会越来越多.所以作为新人的我选择了跟带头BOSS去现场学习,并且将自己参与应急响应中的 ...

  8. [原创]内网渗透JSP webSehll连接工具

    工具: JspShellExec编译: VS2012  C# (.NET Framework v2.0)组织: K8搞基大队[K8team]作者: K8拉登哥哥博客: http://qqhack8.b ...

  9. CentOS 7 下用 firewall-cmd / iptables 实现 NAT 转发供内网服务器联网

    自从用 HAProxy 对服务器做了负载均衡以后,感觉后端服务器真的没必要再配置并占用公网IP资源. 而且由于托管服务器的公网 IP 资源是固定的,想上 Keepalived 的话,需要挤出来 3 个 ...

随机推荐

  1. Linux——定时清空日志内容和删除日志文件

    前言 最近在做性能压测试,会生成大量的日志,导致后续越压越慢,最终磁盘空间占满之类的问题.老是要手动删除日志文件,为避免此类问题发生,编写一个Linux日志定时清理的脚本,一劳永逸. 1.shell脚 ...

  2. rpm -ql BackupPC |grep etc

    # rpm -ql BackupPC |grep etc/etc/BackupPC/etc/BackupPC/config.pl/etc/BackupPC/hosts/etc/httpd/conf.d ...

  3. Centos7 LVM管理的逻辑卷根目录扩容和/var目录扩容

    Centos7 LVM管理的逻辑卷根目录扩容 fdisk /dev/sdb #对新加磁盘进行分区操作pvcreate /dev/sdb1 #创建一个物理卷vgs #查看现有的卷组vgextend ce ...

  4. 思考一个问题STM32的

    如果一个定时中断刚刚进入中断服务函数 但是服务函数执行时间太长   又一次触发了中断 会怎样

  5. <fmt:formatDate> 标签,日期格式化问题(Day_24)

    一个时间显示问题,出生日期显示应为: yyyy-MM-dd,却显示: GMT格式(Wed Jun 15 00:00:00 CST 1983) 解决方案: 将图一改为图二. 图一: 图二: 最后: 注意 ...

  6. 解决Maven资源过滤

    <build> <resources> <resource> <directory>src/main/java</directory> &l ...

  7. 从马尔可夫模型(Markov Model)到隐马尔可夫模型(Hidden Markov Model)

    1.参考资料: 博客园 - 刘建平随笔:https://www.cnblogs.com/pinard/p/6945257.html 哔站up主 - 白手起家的百万富翁:https://www.bili ...

  8. 初遇SpringBoot踩坑与加载静态文件遇到的坑

                              SpringBoot开发 创建SpringBoot项目 大家都知道SpringBoot开发非常快,创建SpringBoot项目时,勾上SpringW ...

  9. Jenkins实战应用–Jenkins构建中tag的应用

    Jenkins实战应用–Jenkins构建中tag的应用 文章目录[隐藏] *系列汇总* 1,缘起. 2,回滚功能. 1,添加mode选项. 2,再添加branch选项. 3,添加Git Parame ...

  10. Python+Selenium学习笔记12 - 窗口大小和滚动条

    涉及到的三个方法 set_window_size()  用于设置浏览器窗口的大小 e.gset_window_size(600,600) window.scrollTo() 用于设置浏览器窗口滚动条的 ...