NAT 网关模拟

Question

在 Linux 系统上配置 NAT 并进行实验，可以通过使用 iptables 或 nftables 实现。以下是一个完整的实验指导，帮助你将一台 Linux 主机配置为 NAT 网关，供私有网络中的设备通过其访问外部网络。

实验环境

1. Linux 主机 ：充当 NAT 网关，具有两块网卡：
   • 网卡 1（外网接口，如 eth0 ）：连接到外部网络。
   • 网卡 2（内网接口，如 eth1 ）：连接到内网设备。
2. 内网设备 ：通过 Linux NAT 网关访问外部网络。
3. 目标 ：内网设备（如 192.168.1.2 ）可以通过 Linux 主机访问外部网络。

实验步骤

1. 配置 Linux 网络

确保 Linux 主机的两块网卡分别配置正确：

• 外网网卡 ( eth0 ) ：
  • 配置外网 IP 地址（例如通过 DHCP 获取或手动设置）。

  sudo dhclient eth0
  

  或手动设置：

  sudo ip addr add 203.0.113.1/24 dev eth0
  sudo ip link set eth0 up
  

• 内网网卡 ( eth1 ) ：
  • 配置一个私有 IP 地址（如 192.168.1.1 ），并启用。

  sudo ip addr add 192.168.1.1/24 dev eth1
  sudo ip link set eth1 up
  

• 验证网络连接：

  ping -c 4 8.8.8.8  # 测试外网连通性
  ping -c 4 192.168.1.2  # 测试内网设备连通性
  

2. 启用 IP 转发

IP 转发是 NAT 工作的核心，确保 Linux 允许数据包在接口之间转发：

sudo sysctl -w net.ipv4.ip_forward=1

持久生效方式：

echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

3. 配置 NAT 规则

使用 iptables 配置 NAT，将内网的流量伪装成从 Linux 主机的外网接口发出的流量。

• 配置 SNAT 规则（替换源地址）：

  sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  

• 保存规则（根据系统选择）：
  • Debian/Ubuntu ：

    sudo apt install iptables-persistent
    sudo netfilter-persistent save
    

  • CentOS/RHEL ：

    sudo service iptables save
    

4. 配置内网设备

1. 设置内网设备的网关为 Linux 主机的内网 IP 地址：
   • IP 地址： 192.168.1.2
   • 子网掩码： 255.255.255.0
   • 网关： 192.168.1.1
2. 配置 DNS 服务器（例如 Google DNS）：
   • 8.8.8.8
3. 验证内网设备与 Linux 主机的连通性：

   ping -c 4 192.168.1.1
   

5. 测试外网访问

1. 在内网设备上尝试访问外网：

   ping -c 4 8.8.8.8
   curl http://www.example.com 
   

2. 检查 Linux 主机上的 NAT 连接跟踪状态：

   sudo conntrack -L
   

扩展功能

1. 配置端口转发 ：
   如果需要将外部请求转发到内网设备，可以配置如下规则：

   sudo iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.2:80
   sudo iptables -A FORWARD -p tcp -d 192.168.1.2 --dport 80 -j ACCEPT
   

2. 监控 NAT 流量 ：
   • 使用 tcpdump 查看 NAT 流量：

     sudo tcpdump -i eth0
     sudo tcpdump -i eth1
     

小结

完成以上步骤后，Linux 主机可以作为 NAT 网关供内网设备访问外部网络。你可以通过调整 iptables 规则实现更复杂的 NAT 功能，例如端口映射或细化流量控制。