在家庭或小型办公网络中,常常只有一台设备拥有公网IP地址,而其他设备需要通过这台设备访问互联网。这时候就需要用到NAT(Network Address Translation,网络地址转换)。本教程将手把手教你如何在Linux系统上配置NAT,让内网设备通过一台Linux主机共享上网。
什么是NAT?
NAT(网络地址转换)是一种将私有IP地址转换为公有IP地址的技术。它允许多个内网设备通过一个公网IP访问外部网络,同时隐藏内部网络结构,提高安全性。
准备工作
在开始之前,请确保你满足以下条件:
- 一台运行Linux的主机(如Ubuntu、CentOS等),该主机需具备两个网络接口:一个连接外网(如eth0),一个连接内网(如eth2)。
- 外网接口已正确配置并能正常访问互联网。
- 内网接口已分配私有IP地址(如192.168.100.1/24)。
- 具有root权限或sudo权限。
步骤一:启用IP转发
Linux默认不转发数据包,我们需要先开启IP转发功能。
临时开启(重启后失效):
echo 1 > /proc/sys/net/ipv4/ip_forward 永久开启(推荐):编辑 /etc/sysctl.conf 文件:
sudo nano /etc/sysctl.conf 找到并取消注释(或添加)以下行:
net.ipv4.ip_forward = 1 保存后执行以下命令使配置生效:
sudo sysctl -p 步骤二:配置iptables规则
接下来使用 iptables 配置NAT规则。假设你的外网接口是 eth0,内网接口是 eth2。
首先,清除现有规则(可选,谨慎操作):
sudo iptables -Fsudo iptables -t nat -F 然后,添加NAT规则(MASQUERADE方式适用于动态IP,如拨号上网):
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADEsudo iptables -A FORWARD -i eth2 -o eth0 -j ACCEPTsudo iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT 这些规则的含义是:
- 将从
eth0出去的数据包源地址伪装成eth0的IP(即公网IP)。 - 允许内网(
eth2)向公网(eth0)转发数据。 - 允许公网返回的数据包进入内网(仅限已建立的连接)。
步骤三:保存iptables规则(可选但推荐)
不同Linux发行版保存方式不同:
Ubuntu/Debian:
sudo apt install iptables-persistent -ysudo netfilter-persistent save CentOS/RHEL:
sudo yum install iptables-services -ysudo service iptables save 步骤四:配置内网设备
将内网设备的网关设置为Linux主机的内网IP(例如192.168.100.1),DNS可设为公共DNS如8.8.8.8。
测试方法:在内网设备上执行 ping 8.8.8.8 或访问网页,若能成功则说明NAT配置成功。
常见问题排查
- 检查IP转发是否开启:
cat /proc/sys/net/ipv4/ip_forward应输出1。 - 确认iptables规则是否正确:
sudo iptables -t nat -L -n -v - 确保防火墙未阻止流量(如firewalld、ufw等)。
- 内网设备网关和DNS配置是否正确。
总结
通过以上步骤,你已经成功在Linux系统上配置了NAT服务,实现了内网共享上网。这项技术广泛应用于家庭路由器、企业网关等场景。掌握Linux NAT配置不仅能提升你的网络管理能力,还能加深对TCP/IP协议栈的理解。
如果你正在学习网络管理或系统运维,建议深入研究iptables教程和网络地址转换原理,这将为你打下坚实的基础。