Schritt-für-Schritt-Konfiguration von NAT mit iptables

Dieses Tutorial zeigt, wie man die Netzwerkadressübersetzung (NAT) auf einem Linux-System mit iptables-Regeln einrichtet, sodass das System als Gateway fungieren und mehreren Hosts in einem lokalen Netzwerk über eine einzige öffentliche IP-Adresse Internetzugang bieten kann. Dies wird erreicht, indem die Quell- und/oder Zieladressen von IP-Paketen umgeschrieben werden, während sie durch das NAT-System geleitet werden.

Anforderungen:

CPU - PII oder mehr
OS - Jede Linux-Distribution
Software - Iptables
Netzwerk-Schnittstellenkarten: 2

Hier sind meine Überlegungen:

Ersetzen Sie xx.xx.xx.xx durch Ihre WAN-IP

Ersetzen Sie yy.yy.yy.yy durch Ihre LAN-IP

(z. B. 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, wie von Herrn tzs vorgeschlagen)

WAN = eth0 mit öffentlicher IP xx.xx.xx.xx
LAN = eth1 mit privater IP yy.yy.yy.yy/ 255.255.0.0

Schritt-für-Schritt-Verfahren

Schritt #1. Fügen Sie 2 Netzwerkkarten zur Linux-Box hinzu

Schritt #2. Überprüfen Sie die Netzwerkkarten, ob sie ordnungsgemäß installiert sind oder nicht

ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l

(Die Ausgabe sollte “2” sein)

Schritt #3. Konfigurieren Sie eth0 für das Internet mit einer öffentlichen (IP externes Netzwerk oder Internet)

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=none
BROADCAST=xx.xx.xx.255 # Optionale Eingabe
HWADDR=00:50:BA:88:72:D4 # Optionale Eingabe
IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.0 # Vom ISP bereitgestellt
NETWORK=xx.xx.xx.0 # Optional
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
IPV6INIT=no
PEERDNS=yes
GATEWAY=xx.xx.xx.1 # Vom ISP bereitgestellt

Schritt #4. Konfigurieren Sie eth1 für LAN mit einer privaten IP (internes privates Netzwerk)

cat /etc/sysconfig/network-scripts/ifcfg-eth1

BOOTPROTO=none
PEERDNS=yes
HWADDR=00:50:8B:CF:9C:05 # Optional
TYPE=Ethernet
IPV6INIT=no
DEVICE=eth1
NETMASK=255.255.0.0 # Basierend auf Ihren Anforderungen angeben
BROADCAST=””
IPADDR=192.168.2.1 # Gateway des LAN
NETWORK=192.168.0.0 # Optional
USERCTL=no
ONBOOT=yes

Schritt #5. Host-Konfiguration (Optional)

cat /etc/hosts

127.0.0.1 nat localhost.localdomain localhost

Schritt #6. Gateway-Konfiguration

cat /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=nat
GATEWAY=xx.xx.xx.1 # Internet-Gateway, bereitgestellt vom ISP

Schritt #7. DNS-Konfiguration

cat /etc/resolv.conf

nameserver 203.145.184.13 # Primärer DNS-Server, bereitgestellt vom ISP
nameserver 202.56.250.5 # Sekundärer DNS-Server, bereitgestellt vom ISP

Schritt #8. NAT-Konfiguration mit IP-Tabellen

iptables --flush            # Alle Regeln in den Filter- und NAT-Tabellen leeren

iptables --table nat --flush

iptables --delete-chain

iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

#Wenden Sie die Konfiguration an

service iptables restart

Schritt #9. Testen

ping 192.168.2.1

Versuchen Sie es auf Ihren Client-Systemen

ping google.com

Konfigurieren von PCs im Netzwerk (Clients)

• Alle PCs im privaten Büronetzwerk sollten ihr “Gateway” auf die lokale private Netzwerk-IP-Adresse des Linux-Gateway-Computers einstellen.
• Der DNS sollte auf den des ISP im Internet eingestellt werden.
Windows ‘95, 2000, XP, Konfiguration:

• Wählen Sie “Start” + “Einstellungen” + “Systemsteuerung”
• Wählen Sie das Symbol “Netzwerk”
• Wählen Sie die Registerkarte “Konfiguration” und doppelklicken Sie auf die Komponente “TCP/IP” für die Netzwerkkarte. (NICHT das TCP/IP -> Wähladapter)
• Wählen Sie die Registerkarten:
o “Gateway”: Verwenden Sie die interne Netzwerk-IP-Adresse der Linux-Box. (192.168.2.1)
o “DNS-Konfiguration”: Verwenden Sie die IP-Adressen der DNS-Server des ISP. (Aktuelle Internet-IP-Adresse)
o “IP-Adresse”: Die IP-Adresse (192.168.XXX.XXX - statisch) und die Netzmaske (typischerweise 255.255.0.0 für ein kleines lokales Büronetzwerk) des PCs können hier ebenfalls festgelegt werden.