I. Sơ đồ và yêu cầu
1. Sơ đồ
2. Yêu cầu
- PC trong LAN của Firewall có thể đi internet (SNAT)
- Cho phép các PC ngoài internet truy cập vào máy chủ Web (DNAT)
- Sơ đồ IP
II. Triển khai
1. Cấu hình SNAT
- Thực hiện cấu hình NAT out để PC trong LAN có thể ra internet
- Trước tiên bạn cần bật tính năng định tuyến cho Firewall
- Để các PC trong LAN ra internet thì Firewall cần dùng SNAT và đặt rule ở chian POSTROUTING. Ngoài ra bạn cũng có thể dùng MASQUERADE cũng được.
- MASQUERADE: thường dùng cho các kết nối đến internet thông qua ppo hoặc IP động
- Save file config và restart lại Iptables
2. Cấu hình DNAT
- Để thực hiện Public Webserver ra internet, bạn cần phải cấu hình DNAT và đặt rule ở chain PREROUTING
- Save file config và restart lại Iptables
- PC ngoài internet truy cập web server thông qua IP outside của Firewall thành công
3. Lỗi và fix
- Nếu bạn cấu hình rồi mà không chạy hãy xem lại trong file config "vi /etc/sysconfig/iptables" có dòng Nat bạn vừa đánh không.
- Nếu không có bạn phải cài thêm gói "iptables-devel" bằng lệnh:
1. Sơ đồ
2. Yêu cầu
- PC trong LAN của Firewall có thể đi internet (SNAT)
- Cho phép các PC ngoài internet truy cập vào máy chủ Web (DNAT)
- Sơ đồ IP
PC1-Winxp | IP: 10.2.2.20/24 Gateway: 10.2.2.1 |
Web server- Centos 6.5 | IP: 10.2.2.30/24 Gateway: 10.2.2.1 |
Firwall - Iptables | eth0 IP: 10.2.2.1/24 eth1 IP: DHCP (172.16.1.105/24) |
PC2-Windows 8 | IP: DHCP (172.16.1.100/24) |
II. Triển khai
1. Cấu hình SNAT
- Thực hiện cấu hình NAT out để PC trong LAN có thể ra internet
- Trước tiên bạn cần bật tính năng định tuyến cho Firewall
echo '1' > /proc/sys/net/ipv4/ip_forward |
- MASQUERADE: thường dùng cho các kết nối đến internet thông qua ppo hoặc IP động
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE hoặc iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.16.1.105 |
- Save file config và restart lại Iptables
service iptables save service iptables restart |
- Trên PC và máy chủ Web ping và truy cập internet thành công2. Cấu hình DNAT
- Để thực hiện Public Webserver ra internet, bạn cần phải cấu hình DNAT và đặt rule ở chain PREROUTING
-A PREROUTING -d 172.16.1.105/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.2.30:80 |
service iptables save service iptables restart |
- PC ngoài internet truy cập web server thông qua IP outside của Firewall thành công
3. Lỗi và fix
- Nếu bạn cấu hình rồi mà không chạy hãy xem lại trong file config "vi /etc/sysconfig/iptables" có dòng Nat bạn vừa đánh không.
- Nếu không có bạn phải cài thêm gói "iptables-devel" bằng lệnh:
[root@svuit ~]# yum -y install iptables* |