Lab 5.1 Cấu hình SNAT và DNAT trên IPtables

Discussion in 'Security' started by root, Jul 4, 2014.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38
    I. Sơ đồ và yêu cầu
    1. Sơ đồ

    [​IMG]

    2. Yêu cầu
    - PC trong LAN của Firewall có thể đi internet (SNAT)
    - Cho phép các PC ngoài internet truy cập vào máy chủ Web (DNAT)
    - Sơ đồ IP
    [TABLE="class: grid, width: 500"]

    PC1-Winxp
    IP: 10.2.2.20/24
    Gateway: 10.2.2.1

    Web server- Centos 6.5
    IP: 10.2.2.30/24
    Gateway: 10.2.2.1

    Firwall - Iptables
    eth0 IP: 10.2.2.1/24
    eth1 IP: DHCP (172.16.1.105/24)

    PC2-Windows 8
    IP: DHCP (172.16.1.100/24)
    [/TABLE]


    II. Triển khai

    1. Cấu hình SNAT
    - Thực hiện cấu hình NAT out để PC trong LAN có thể ra internet
    - Trước tiên bạn cần bật tính năng định tuyến cho Firewall
    [TABLE="class: outer_border, width: 500"]

    echo '1' > /proc/sys/net/ipv4/ip_forward
    [/TABLE]

    - Để các PC trong LAN ra internet thì Firewall cần dùng SNAT và đặt rule ở chian POSTROUTING. Ngoài ra bạn cũng có thể dùng MASQUERADE cũng được.
    - MASQUERADE: thường dùng cho các kết nối đến internet thông qua ppo hoặc IP động
    [TABLE="class: outer_border, width: 700"]

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    hoặc
    iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.16.1.105
    [/TABLE]

    - Save file config và restart lại Iptables
    [TABLE="class: outer_border, width: 500"]

    service iptables save
    service iptables restart
    [/TABLE]


    - Trên PC và máy chủ Web ping và truy cập internet thành công

    [​IMG]



    2. Cấu hình DNAT

    - Để thực hiện Public Webserver ra internet, bạn cần phải cấu hình DNAT và đặt rule ở chain PREROUTING
    [TABLE="class: outer_border, width: 800"]

    -A PREROUTING -d 172.16.1.105/32 -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.2.2.30:80
    [/TABLE]
    - Save file config và restart lại Iptables
    [TABLE="class: outer_border, width: 500"]

    service iptables save
    service iptables restart

    [/TABLE]

    - PC ngoài internet truy cập web server thông qua IP outside của Firewall thành công

    [​IMG]


    3. Lỗi và fix
    - Nếu bạn cấu hình rồi mà không chạy hãy xem lại trong file config "vi /etc/sysconfig/iptables" có dòng Nat bạn vừa đánh không.
    - Nếu không có bạn phải cài thêm gói "iptables-devel" bằng lệnh:
    [TABLE="class: outer_border, width: 500"]

    [root@svuit ~]# yum -y install iptables*

    [/TABLE]

     

Share This Page