NAT 구성 단계별 가이드 iptables

이 튜토리얼은 Linux 시스템에서 iptables 규칙을 사용하여 네트워크 주소 변환(NAT)을 설정하는 방법을 보여줍니다. 이를 통해 시스템은 게이트웨이 역할을 하여 단일 공용 IP 주소를 사용하여 로컬 네트워크의 여러 호스트에 인터넷 액세스를 제공합니다. 이는 NAT 시스템을 통과하는 IP 패킷의 출발지 및/또는 목적지 주소를 재작성하여 달성됩니다.

요구 사항:

CPU - PII 이상
OS - 모든 Linux 배포판
소프트웨어 - Iptables
네트워크 인터페이스 카드: 2개

다음은 제 고려 사항입니다:

xx.xx.xx.xx를 WAN IP로 교체하십시오.

yy.yy.yy.yy를 LAN IP로 교체하십시오.

(예: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, Mr. tzs의 제안)

WAN = eth0, 공용 IP xx.xx.xx.xx
LAN = eth1, 사설 IP yy.yy.yy.yy/ 255.255.0.0

단계별 절차

1단계. Linux 박스에 2개의 네트워크 카드를 추가합니다.

2단계. 네트워크 카드가 제대로 설치되었는지 확인합니다.

ls /etc/sysconfig/network-scripts/ifcfg-eth* | wc -l

( 출력은 “2”여야 합니다.)

3단계. 공용 IP(외부 네트워크 또는 인터넷)를 사용하여 eth0을 인터넷에 구성합니다.

cat /etc/sysconfig/network-scripts/ifcfg-eth0

DEVICE=eth0
BOOTPROTO=none
BROADCAST=xx.xx.xx.255    # 선택적 항목
HWADDR=00:50:BA:88:72:D4    # 선택적 항목
IPADDR=xx.xx.xx.xx
NETMASK=255.255.255.0    # ISP에서 제공
NETWORK=xx.xx.xx.0       # 선택적
ONBOOT=yes
TYPE=Ethernet
USERCTL=no
IPV6INIT=no
PEERDNS=yes
GATEWAY=xx.xx.xx.1    # ISP에서 제공

4단계. 사설 IP(내부 사설 네트워크)를 사용하여 eth1을 LAN에 구성합니다.

cat /etc/sysconfig/network-scripts/ifcfg-eth1

BOOTPROTO=none
PEERDNS=yes
HWADDR=00:50:8B:CF:9C:05    # 선택적
TYPE=Ethernet
IPV6INIT=no
DEVICE=eth1
NETMASK=255.255.0.0        # 요구 사항에 따라 지정
BROADCAST=””
IPADDR=192.168.2.1        # LAN의 게이트웨이
NETWORK=192.168.0.0        # 선택적
USERCTL=no
ONBOOT=yes

5단계. 호스트 구성 (선택 사항)

cat /etc/hosts

127.0.0.1 nat localhost.localdomain localhost

6단계. 게이트웨이 구성

cat /etc/sysconfig/network

NETWORKING=yes
HOSTNAME=nat
GATEWAY=xx.xx.xx.1 # 인터넷 게이트웨이, ISP에서 제공

7단계. DNS 구성

cat /etc/resolv.conf

nameserver 203.145.184.13 # ISP에서 제공하는 기본 DNS 서버
nameserver 202.56.250.5 # ISP에서 제공하는 보조 DNS 서버

8단계. IP 테이블로 NAT 구성

iptables --flush            # 필터 및 nat 테이블의 모든 규칙 플러시

iptables --table nat --flush

iptables --delete-chain

iptables --table nat --delete-chain

iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE

iptables --append FORWARD --in-interface eth1 -j ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward

service iptables restart

9단계. 테스트

ping 192.168.2.1

클라이언트 시스템에서 시도해 보십시오.

ping google.com

네트워크의 PC 구성 (클라이언트)

• 사설 사무실 네트워크의 모든 PC는 게이트웨이를 Linux 게이트웨이 컴퓨터의 로컬 사설 네트워크 IP 주소로 설정해야 합니다.
• DNS는 인터넷의 ISP로 설정해야 합니다.
Windows ‘95, 2000, XP, 구성:

•   ”시작” + “설정” + “제어판” 선택
•   ”네트워크” 아이콘 선택
•   ”구성” 탭을 선택하고 이더넷 카드의 “TCP/IP” 구성 요소를 두 번 클릭합니다. (TCP/IP -> 다이얼업 어댑터가 아님)
•   탭 선택:
o   ”게이트웨이”: Linux 박스의 내부 네트워크 IP 주소를 사용합니다. (192.168.2.1)
o   ”DNS 구성”: ISP 도메인 이름 서버의 IP 주소를 사용합니다. (실제 인터넷 IP 주소)
o   ”IP 주소”: PC의 IP 주소(192.168.XXX.XXX - 정적) 및 넷마스크(일반적으로 소규모 로컬 사무실 네트워크의 경우 255.255.0.0)도 여기에서 설정할 수 있습니다.