Linux上实现NAT需开启IP转发,配置iptables的SNAT(出站修改源IP)和DNAT(入站修改目的IP),并配合filter表允许转发,最后保存规则以确保重启后生效。
Linux上实现网络地址转换(NAT),核心是利用
iptables的
NAT表。无论是让内网设备共享一个公网IP访问外部网络,还是将外部请求导向内部服务器,
iptables都能通过对数据包的源地址或目的地址进行修改来完成这项任务。这就像是一个网络世界的“翻译官”或“门卫”,巧妙地隐藏或重定向着流量。
解决方案
要使用
iptables实现网络地址转换,你需要理解两种主要类型:源地址转换(SNAT)和目的地址转换(DNAT)。
1. 开启IP转发功能 在配置任何NAT规则之前,你的Linux系统必须开启IP转发功能,否则数据包无法在不同网络接口之间转发。
echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -p # 确保修改立即生效
为了让这个设置在系统重启后依然有效,你需要编辑
/etc/sysctl.conf文件,将
net.ipv4.ip_forward = 1这行取消注释或添加进去。
2. 源地址转换(SNAT) SNAT主要用于内网主机通过一个共享的公网IP访问互联网。当内网主机的数据包离开Linux路由器时,其源IP地址会被修改为路由器的公网IP。
-
使用
MASQUERADE
(伪装) 当你的公网IP是动态分配时,MASQUERADE
是最佳选择。它会自动获取出口网卡的IP地址。iptables -t nat -A POSTROUTING -o <你的公网出口网卡名> -j MASQUERADE
例如,如果你的公网网卡是
eth0
:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
-
使用
SNAT
如果你的公网IP是固定不变的,直接指定IP地址会更高效。iptables -t nat -A POSTROUTING -o <你的公网出口网卡名> -j SNAT --to-source <你的公网IP地址>
例如,如果公网IP是
203.0.113.10
:iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.10
如果你有多个公网IP,也可以指定一个范围:
--to-source 203.0.113.10-203.0.113.20
。
3. 目的地址转换(DNAT) DNAT通常用于将外部网络(互联网)的请求,转发到内部网络中的特定服务器或服务。比如,你有一个Web服务器在内网,但希望通过公网IP的80端口访问它。
-
端口转发
iptables -t nat -A PREROUTING -i <你的公网入口网卡名> -p tcp --dport <外部访问端口> -j DNAT --to-destination <内网服务器IP>:<内网服务端口>
例如,将公网
eth0
上的80端口请求转发到内网192.168.1.100
的80端口:iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
如果外部访问端口和内部服务端口相同,可以省略内部端口:
--to-destination 192.168.1.100
。 你也可以转发所有流量到某个内部IP,但这种情况比较少见且风险较高:iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.1.100
4. 配合FILTER
表规则
仅仅配置NAT规则是不够的。通常,你还需要在
FILTER表中添加相应的转发(FORWARD)规则,允许这些NAT转换后的数据包通过。 例如,如果DNAT将外部请求转发到内网服务器,你需要允许这些转发的连接:
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
这里的
eth0是公网接口,
eth1是内网接口。
5. 保存规则
iptables规则默认是临时的,系统重启后会丢失。需要将规则保存下来。
-
Debian/Ubuntu:
apt-get install iptables-persistent netfilter-persistent save netfilter-persistent reload
-
CentOS/RHEL:
yum install iptables-services systemctl enable iptables systemctl start iptables iptables-save > /etc/sysconfig/iptables
在较新的CentOS版本中,可能需要使用
firewalld
,但如果你坚持使用iptables
,需要禁用firewalld
。
iptables中的NAT表和链是如何协同工作的?
要理解
iptables的NAT机制,我们得先搞清楚数据包在Linux内核中的生命周期,以及
NAT表和它下面的链扮演的角色。当一个数据包进入或离开Linux系统时,它会经过一系列预定义的“关卡”,这些关卡就是链。
iptables的
NAT表,顾名思义,就是专门用来处理网络地址转换的。它主要有三个核心链:
PREROUTING、
POSTROUTING和
OUTPUT。
数据包一进到Linux系统,如果它要被转发,最先碰到的就是
PREROUTING链。这个链在路由判断之前执行,所以非常适合做目的地址转换(DNAT)。你想啊,如果我想把外部请求转发给内网的Web服务器,我得在系统还没决定怎么路由这个包之前,就把目的IP改成内网服务器的IP,这样系统才能正确地把包发给内网。这就是为什么DNAT规则都放在
PREROUTING链里。
接着,数据包经过路由判断,决定是发给本地进程还是转发出去。如果它要发出去,在离开系统之前,会经过
POSTROUTING链。这个链在路由判断之后、数据包即将离开系统之前执行,所以它是做源地址转换(SNAT)的理想位置。想象一下,内网的机器要访问互联网,它们的源IP是内网地址。如果直接发出去,互联网上的设备根本不知道怎么把响应发回来。所以,在数据包离开系统前,我们得把它的源IP换成路由器的公网IP,这样外部服务器才能正确地把响应发回给路由器。这就是SNAT规则在
POSTROUTING链里的原因。
还有一个
OUTPUT链,它处理由本机生成的、要发出去的数据包。如果你想让本机发出的数据包也进行NAT转换,比如本机进程连接到一个内部服务,但希望通过另一个IP出去,那就会用到
OUTPUT链。不过,对于我们通常说的“路由器”或“网关”场景,
PREROUTING和
POSTROUTING才是主角。
所以,整个流程就像一个精密的流水线:数据包进来(
PREROUTING,可能DNAT) -> 路由决策 -> 数据包出去(
POSTROUTING,可能SNAT)。
NAT表就是在这两个关键点上,对数据包的IP地址进行“魔术”般的修改,从而实现了不同网络间的无缝通信。
配置源地址转换(SNAT)和目的地址转换(DNAT)时有哪些关键考量?
配置SNAT和DNAT虽然看起来直接,但实际操作中有很多细节需要注意,否则很容易掉进坑里。
1. 网络拓扑和IP规划的清晰度: 在动手配置之前,务必画一张清晰的网络拓扑图,明确哪些是公网接口、哪些是内网接口,以及各个网段的IP地址规划。特别是内网服务器的IP地址,必须是静态的或者通过DHCP保留,这样DNAT才能稳定地转发到正确的目的地。如果你内网服务器的IP经常变动,DNAT规则很快就会失效。
2. 接口方向的准确性(-i 和 -o):
iptables规则中的
-i(in-interface,入站接口)和
-o(out-interface,出站接口)非常关键。
- 对于DNAT(通常在
PREROUTING
链),-i
应该指定为公网接口,因为数据包是从公网进入的。 - 对于SNAT(通常在
POSTROUTING
链),-o
应该指定为公网出口接口,因为数据包是从这个接口出去的。 搞错接口方向,规则就完全不生效了。
3. 端口和协议的精确匹配: DNAT时,如果你只希望转发特定服务的请求,比如Web服务的80端口,就一定要指定
-p tcp --dport 80。不要为了省事而转发所有端口,那会暴露内网服务,增加安全风险。同样,SNAT时通常不需要指定端口,因为它是对所有出站连接进行源地址转换。
4. MASQUERADE
与SNAT
的选择:
-
MASQUERADE
:适用于公网IP地址是动态分配的场景(比如PPPoE拨号)。它会自动识别并使用当前出口网卡的IP地址,非常方便。但它会增加一些CPU开销,因为它每次都要查询IP地址。 -
SNAT
:适用于公网IP地址是静态固定的场景。直接指定--to-source <公网IP>
,效率更高,因为不需要每次都查询。如果你有多个公网IP,也可以指定一个IP范围,实现简单的负载均衡。
5. FILTER
表规则的配合:
这是一个非常容易被忽视的关键点。即使NAT规则成功修改了数据包的地址,如果
FILTER表的
FORWARD链没有相应的规则允许这些数据包通过,它们最终还是会被丢弃。
- 对于DNAT,你需要允许从公网接口到内网接口的特定端口的转发。
- 对于SNAT,你需要允许从内网接口到公网接口的转发。
通常会结合
--state NEW,ESTABLISHED,RELATED
来允许新建连接、已建立连接和相关连接,这样能更精确地控制流量,同时保持安全性。
6. 环回问题(Hairpin NAT / NAT Loopback): 这是一个常见的坑。如果内网主机想通过公网IP访问内网的服务器(比如通过域名解析到公网IP),数据包会先到达路由器,然后DNAT到内网服务器。但如果路由器没有特殊处理,内网服务器收到的请求源IP是路由器的内网IP,而不是原始内网主机的IP,这可能导致一些应用识别客户端IP失败。更糟糕的是,响应包可能不会再次经过路由器,直接返回给请求主机,导致连接中断。解决这个问题通常需要额外的SNAT规则,将内网访问内网服务器的数据包的源IP也进行转换,或者在DNS层面解决。
7. 规则的顺序和持久化:
iptables规则是按顺序匹配的。如果一条规则匹配了,通常就会执行其对应的动作,后续规则可能就不会再被检查。所以,规则的添加顺序很重要。更重要的是,配置好的规则默认是临时的,系统重启后会丢失。务必使用
iptables-save和
iptables-restore或
iptables-persistent等工具将规则保存下来,并配置成开机自启动。
如何让iptables的NAT规则在系统重启后依然有效?
让
iptables规则在系统重启后保持生效,是一个非常基础但又极其重要的操作。毕竟,谁也不想每次服务器重启后都手动敲一遍命令。有几种主流的方法可以实现这一点,具体选择哪种,取决于你使用的Linux发行版和个人偏好。
1. 使用iptables-persistent
(Debian/Ubuntu)
这是Debian系发行版最推荐和最方便的方式。
-
安装:
sudo apt-get install iptables-persistent
安装过程中,它会询问你是否保存当前的IPv4和IPv6规则。选择“是”,它就会将当前规则保存到
/etc/iptables/rules.v4
和/etc/iptables/rules.v6
。 -
保存规则:
当你修改了
iptables
规则后,需要手动保存才能让这些修改在下次重启时生效。sudo netfilter-persistent save
这个命令会把当前内存中的
iptables
规则写入到上述配置文件中。 -
加载规则:
系统启动时,
netfilter-persistent
服务会自动加载这些配置文件中的规则。如果你想手动加载,可以使用:sudo netfilter-persistent reload
2. 使用iptables-services
(CentOS/RHEL)
在较旧的CentOS/RHEL版本中,或者当你选择不使用
firewalld时,
iptables-services包是管理
iptables规则的标准方式。
-
安装:
sudo yum install iptables-services
-
启动并启用服务:
sudo systemctl enable iptables # 设置开机自启动 sudo systemctl start iptables # 立即启动iptables服务
-
保存规则:
当你修改了
iptables
规则后,使用以下命令保存:sudo iptables-save > /etc/sysconfig/iptables
这个命令会将当前内存中的IPv4规则导出到
/etc/sysconfig/iptables
文件。系统启动时,iptables
服务会读取这个文件并加载规则。 对于IPv6规则,则是:sudo ip6tables-save > /etc/sysconfig/ip6tables
-
注意: 在CentOS 7及更高版本中,
firewalld
是默认的防火墙管理工具。如果你想用iptables
,通常需要先禁用firewalld
:sudo systemctl stop firewalld sudo systemctl disable firewalld
然后才能启用
iptables
服务。
3. 通过自定义启动脚本 这是一个更通用的方法,适用于任何Linux发行版,但需要你手动创建和管理脚本。
-
创建规则文件: 将当前的
iptables
规则导出到一个文件中(例如/etc/iptables/rules.sh
):sudo iptables-save > /etc/iptables/rules.v4
-
创建加载脚本: 创建一个shell脚本,例如
/etc/rc.local
(如果存在且可用)或/etc/init.d/your_iptables_script
,或者在systemd
下创建一个服务单元。 最简单的方式是在/etc/rc.local
中添加:#!/bin/bash /sbin/iptables-restore < /etc/iptables/rules.v4 exit 0
确保
/etc/rc.local
有执行权限:sudo chmod +x /etc/rc.local
。 如果你的系统使用systemd
,更推荐创建一个.service
文件:# /etc/systemd/system/iptables-restore.service [Unit] Description=Restore iptables rules Before=network-online.target Wants=network-online.target [Service] Type=oneshot ExecStart=/sbin/iptables-restore < /etc/iptables/rules.v4 ExecStop=/sbin/iptables-save > /etc/iptables/rules.v4 RemainAfterExit=yes [Install] WantedBy=multi-user.target
然后启用并启动这个服务:
sudo systemctl enable iptables-restore.service sudo systemctl start iptables-restore.service
无论你选择哪种方法,核心思想都是在系统启动时,将你保存的
iptables规则重新加载到内核中。在修改规则后,务必再次执行保存操作,确保最新的配置能够持久化。
