CentOS7下iptables搭建NAT网关：从原理到实战

一、NAT网关的技术背景与适用场景

NAT（Network Address Translation）作为解决IPv4地址短缺的核心技术，通过修改数据包源/目标地址实现内网与外网的通信隔离。在CentOS7环境中，iptables作为默认防火墙工具，可通过配置SNAT（源地址转换）和DNAT（目标地址转换）规则实现NAT网关功能。

典型应用场景包括：

1. 企业内网共享单一公网IP访问互联网
2. 云服务器作为跳板机管理内部私有网络
3. 隔离实验环境与生产网络
4. 实现端口转发服务（如将80端口映射到内网Web服务器）

相较于商业防火墙，iptables方案具有零成本、高灵活性和深度定制化的优势，但需要管理员具备规则配置能力。

二、环境准备与前置检查

1. 系统要求确认

• CentOS7最小化安装环境
• 至少2块网络接口（eth0外网接口，eth1内网接口）
• 关闭SELinux（临时：setenforce 0；永久：修改/etc/selinux/config）
• 确认iptables服务已安装：rpm -q iptables

2. 网络接口配置

编辑/etc/sysconfig/network-scripts/ifcfg-eth0（外网接口）：

TYPE=Ethernet
BOOTPROTO=static
IPADDR=203.0.113.10
NETMASK=255.255.255.0
GATEWAY=203.0.113.1
ONBOOT=yes

编辑/etc/sysconfig/network-scripts/ifcfg-eth1（内网接口）：

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.1.1
NETMASK=255.255.255.0
ONBOOT=yes

重启网络服务：systemctl restart network

3. 路由表验证

执行ip route show应显示类似输出：

203.0.113.0/24 dev eth0 proto kernel scope link src 203.0.113.10 
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.1 
default via 203.0.113.1 dev eth0

三、iptables核心规则配置

1. 基础规则框架

# 清空现有规则
iptables -F
iptables -t nat -F
# 设置默认策略（谨慎操作）
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# 允许本地回环
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

2. SNAT规则实现（内网访问外网）

# 启用IP转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
# 配置MASQUERADE（动态公网IP场景）
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# 或固定公网IP场景（更高效）
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.10
# 允许转发已建立的连接
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

3. DNAT规则实现（端口转发）

# 将公网8080端口转发到内网192.168.1.100的80端口
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j DNAT --to-destination 192.168.1.100:80
# 确保返回流量通过网关
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -d 192.168.1.100 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 80 -s 192.168.1.100 -j ACCEPT

4. 规则持久化

# 安装持久化工具
yum install iptables-services -y
# 保存规则
service iptables save
# 或手动备份
iptables-save > /etc/sysconfig/iptables-custom

四、服务验证与故障排查

1. 基础连通性测试

• 内网主机配置网关为192.168.1.1
• 执行ping 8.8.8.8验证外网访问
• 使用tcpdump -i eth0抓包分析转换是否生效

2. 端口转发验证

# 在外部主机执行
curl http://203.0.113.10:8080
# 应返回内网Web服务器的响应

3. 常见问题处理

问题1：内网无法访问外网

• 检查ip_forward是否启用：cat /proc/sys/net/ipv4/ip_forward
• 验证FORWARD链规则：iptables -L FORWARD -v -n
• 确认路由表正确：ip route show

问题2：端口转发不生效

• 检查PREROUTING规则是否匹配：iptables -t nat -L PREROUTING -v -n
• 验证内网服务监听状态：netstat -tulnp | grep 80
• 检查防火墙是否阻止访问：iptables -L INPUT -v -n

问题3：连接不稳定

• 调整连接跟踪表大小：

  echo "net.netfilter.nf_conntrack_max = 65536" >> /etc/sysctl.conf
  sysctl -p

五、性能优化与安全加固

1. 连接跟踪优化

# 调整超时参数（针对HTTP服务）
echo "net.netfilter.nf_conntrack_tcp_timeout_established = 1800" >> /etc/sysctl.conf
echo "net.netfilter.nf_conntrack_tcp_timeout_close_wait = 60" >> /etc/sysctl.conf
sysctl -p

2. 限制访问来源

# 只允许特定IP访问管理端口
iptables -A INPUT -i eth0 -p tcp --dport 22 -s 198.51.100.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j DROP

3. 日志记录与分析

# 添加日志规则
iptables -A INPUT -i eth0 -p tcp --dport 80 -j LOG --log-prefix "HTTP_ACCESS: "
# 查看日志
tail -f /var/log/messages | grep HTTP_ACCESS

六、高级应用场景

1. 多网段NAT配置

# 添加第二个内网段
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.2.0/24 -j SNAT --to-source 203.0.113.10
iptables -A FORWARD -i eth1 -o eth0 -s 192.168.2.0/24 -j ACCEPT

2. 负载均衡实现

# 简单轮询负载均衡（需配合keepalived）
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -m statistic --mode random --probability 0.5 -j DNAT --to-destination 192.168.1.100:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.101:80

3. 透明代理集成

结合squid实现透明代理：

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

七、维护与管理建议

1. 规则文档化：使用iptables-save生成配置文件，纳入版本控制
2. 定期审计：每月执行iptables -L -v -n检查异常连接
3. 备份方案：建立CRON任务定期备份规则到云存储
4. 升级策略：关注iptables/nftables升级公告，测试后应用

通过以上配置，CentOS7系统可稳定提供NAT网关服务，满足中小型网络环境需求。实际部署时建议先在测试环境验证，再逐步迁移到生产环境。