LinuxSNAT与MASQUERADE配置详解

目前golang学习网上已经有很多关于文章的文章了，自己在初次阅读这些文章中，也见识到了很多学习思路；那么本文《Linux IP伪装配置教程：SNAT与MASQUERADE详解》，也希望能帮助到大家，如果阅读完后真的对你学习文章有帮助，欢迎动动手指，评论留言并分享~

需启用IP转发并配置iptables的MASQUERADE或SNAT规则：先开启ip_forward，再根据出口IP是否固定选择MASQUERADE（动态）或SNAT（静态），配置FORWARD链放行，保存规则并验证伪装效果。

如果您需要让局域网内的多台主机通过一台Linux服务器访问外部网络，而该服务器仅拥有一个动态或私有IP地址，则必须启用IP伪装功能。以下是配置iptables SNAT与MASQUERADE的具体步骤：

一、确认内核已启用IP转发功能

IP伪装依赖于Linux内核的IP转发能力，若未开启，所有伪装规则将无法生效。需检查并临时或永久启用该功能。

1、执行命令查看当前IP转发状态：cat /proc/sys/net/ipv4/ip_forward。

2、若返回值为0，执行命令临时启用：echo 1 > /proc/sys/net/ipv4/ip_forward。

3、如需永久生效，编辑文件：/etc/sysctl.conf，取消或添加行：net.ipv4.ip_forward = 1。

4、应用配置更改：sysctl -p。

二、使用MASQUERADE实现动态出口IP伪装

MASQUERADE适用于出口接口IP地址不固定（如DHCP获取）的场景，它会自动识别并替换源IP为当前出口网卡的实际IP，无需手动指定目标地址。

1、确定外网接口名称，例如：eth0，可通过命令ip link show或ip route | grep default确认。

2、执行MASQUERADE规则添加命令：iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE。

3、确保内网流量可被转发，添加FORWARD链允许规则：iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT（假设eth1为内网接口）。

4、添加反向流量放行规则：iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT。

三、使用SNAT实现静态出口IP伪装

SNAT适用于出口IP地址固定且已知的场景，它显式指定转换后的源IP地址，规则更精确，性能略优，但不支持IP变动。

1、确认出口接口当前分配的静态IP，例如：203.0.113.45。

2、添加SNAT规则，将内网网段（如192.168.10.0/24）流量源地址统一替换：iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 203.0.113.45。

3、同样需配置FORWARD链以允许转发：iptables -A FORWARD -s 192.168.10.0/24 -o eth0 -j ACCEPT。

4、添加状态关联放行规则：iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT。

四、保存iptables规则防止重启丢失

iptables规则默认在系统重启后清空，必须将其持久化存储，否则配置将失效。

1、在Debian/Ubuntu系统上，安装iptables-persistent包：apt install iptables-persistent。

2、保存当前规则：netfilter-persistent save 或 iptables-save > /etc/iptables/rules.v4。

3、在CentOS/RHEL系统中，使用service命令保存：service iptables save（需已安装iptables-services）。

4、验证保存结果，重启iptables服务后检查规则是否仍在：iptables -t nat -L -n -v。

五、验证IP伪装是否生效

完成配置后，需从内网客户端发起连接并核查地址转换行为，确保流量正确经过伪装并可达外网。

1、在内网主机上执行：curl ifconfig.me 或 wget -qO- ifconfig.me，观察返回IP是否为Linux网关的外网IP。

2、在Linux网关上实时抓包验证伪装效果：tcpdump -i eth0 src host 192.168.10.100（假设192.168.10.100为内网客户端），确认抓到的包源IP已被替换。

3、检查nat表POSTROUTING链计数器是否递增：iptables -t nat -L POSTROUTING -v -n，观察packets列数值变化。

4、确认连接跟踪表中存在对应条目：conntrack -L | grep "src=192.168.10.100"，应显示原始IP与伪装后IP的映射关系。

以上就是《LinuxSNAT与MASQUERADE配置详解》的详细内容，更多关于的资料请关注golang学习网公众号！