Configurazione passo-passo di NAT con iptables

Questo tutorial mostra come impostare la traduzione degli indirizzi di rete (NAT) su un sistema Linux con regole iptables in modo che il sistema possa fungere da gateway e fornire accesso a Internet a più host su una rete locale utilizzando un singolo indirizzo IP pubblico. Questo viene realizzato riscrivendo gli indirizzi sorgente e/o di destinazione dei pacchetti IP mentre passano attraverso il sistema NAT.

Requisiti:

CPU - PII o superiore
OS - Qualsiasi distribuzione Linux
Software - Iptables
Schede di interfaccia di rete: 2

Ecco le mie considerazioni:

Sostituisci xx.xx.xx.xx con il tuo IP WAN

Sostituisci yy.yy.yy.yy con il tuo IP LAN

(i.e. 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 come suggerito dal Sig. tzs)

WAN = eth0 con IP pubblico xx.xx.xx.xx
LAN = eth1 con IP privato yy.yy.yy.yy/ 255.255.0.0

Procedura passo passo

Passo #1. Aggiungi 2 schede di rete al box Linux

Passo #2. Verifica le schede di rete, se sono state installate correttamente o meno

ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l

( L’output dovrebbe essere “2”)

Passo #3. Configura eth0 per Internet con un IP pubblico (IP rete esterna o Internet)

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=none
BROADCAST=xx.xx.xx.255 # Voce opzionale
HWADDR=00:50:BA:88:72:D4 # Voce opzionale
IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.0 # Fornito dal ISP
NETWORK=xx.xx.xx.0 # Opzionale
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
IPV6INIT=no
PEERDNS=yes
GATEWAY=xx.xx.xx.1 # Fornito dal ISP

Passo #4. Configura eth1 per LAN con un IP privato (rete interna privata)

cat /etc/sysconfig/network-scripts/ifcfg-eth1

BOOTPROTO=none
PEERDNS=yes
HWADDR=00:50:8B:CF:9C:05 # Opzionale
TYPE=Ethernet
IPV6INIT=no
DEVICE=eth1
NETMASK=255.255.0.0 # Specificare in base alle tue esigenze
BROADCAST=””
IPADDR=192.168.2.1 # Gateway della LAN
NETWORK=192.168.0.0 # Opzionale
USERCTL=no
ONBOOT=yes

Passo #5. Configurazione dell’host (Opzionale)

cat /etc/hosts

127.0.0.1 nat localhost.localdomain localhost

Passo #6. Configurazione del gateway

cat /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=nat
GATEWAY=xx.xx.xx.1 # Gateway Internet, fornito dal ISP

Passo #7. Configurazione DNS

cat /etc/resolv.conf

nameserver 203.145.184.13 # Server DNS Primario fornito dal ISP
nameserver 202.56.250.5 # Server DNS Secondario fornito dal ISP

Passo #8. Configurazione NAT con IP Tables

iptables --flush            # Svuota tutte le regole nelle tabelle filter e nat

iptables --table nat --flush

iptables --delete-chain

iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

service iptables restart

Passo #9. Test

ping 192.168.2.1

Prova sui tuoi sistemi client

ping google.com

Configurazione dei PC sulla rete (Client)

• Tutti i PC sulla rete privata dell’ufficio devono impostare il loro “gateway” sull’indirizzo IP della rete locale del computer gateway Linux.
• Il DNS deve essere impostato su quello del ISP su Internet.
Configurazione Windows ‘95, 2000, XP:

• Seleziona “Start” + “Settings” + “Control Panel”
• Seleziona l’icona “Network”
• Seleziona la scheda “Configuration” e fai doppio clic sul componente “TCP/IP” per la scheda ethernet. (NON il TCP/IP -> Dial-Up Adapter)
• Seleziona le schede:

o   "Gateway": Usa l'indirizzo IP della rete interna del box Linux. (192.168.2.1)  
o   "Configurazione DNS": Usa gli indirizzi IP dei Server DNS del Nome di Dominio del ISP. (Indirizzo IP reale di Internet)  
o   "Indirizzo IP": L'indirizzo IP (192.168.XXX.XXX - statico) e la maschera di rete (tipicamente 255.255.0.0 per una piccola rete d'ufficio locale) del PC possono essere impostati anche qui.