linux
iptables로 snat, dnat 설정하기 !
개발하는 장군감
2021. 7. 19. 19:42
linux의 iptables는 다양한 기능들을 제공하기 때문에 아주 활용도가 높다!
오늘은 iptables를 이용한 NAT(Network Address Translation)설정 방법을 알아보자.
NAT(Network Address Translation?)
NAT은 말 그대로 네트워크 주소를 변환하는 것을 말하는데, 일반적으로 SNAT, DNAT(Source/Destination)과 같이 지칭한다.
NAT 기능을 활용하여 linux server를 proxy/loadbalancer server로 활용할 수 있는 등 특수한 네트워크 환경에서 다양한 솔루션이 될 수 있다!
SNAT과 DNAT은 선언할 수 있는 iptables chain이 다른데, 이는 다음에 다시 한번 알아보자 :)
방법
우선 mandatory로 필요한 설정만 추가하여 SNAT을 설정해보자
iptables -I POSTROUTING -t nat -j SNAT --to-source 2.2.2.2
- -I는 Insert Mode의 약자로, -I 이후에 숫자를 입력하면 해당 라인에 rule을 추가한다.
- POSTROUTING은 chain의 이름으로 route table 조회 이후에 snat을 수행한다.
- -t nat은 table의 이름이다
- -j jump의 약자로 어떤 rule을 적용할것인지에 대한 내용이다.
- --to-source 어떤 source addr로 SNAT할건지 결정한다.
다양한 옵션
아래와 같이 더욱 다양한 옵션을 활용할 수 있다.
iptables -I POSTROUTING -t nat -p tcp -s 10.10.0.0/16 -d 20.20.0.0/16 -j SNAT --to-source 2.2.2.2:1000-1999
- -p 는 어떤 protocol에 대해 적용할 건지에 대한 내용이다
- -s는 해당 rule을 적용할 source address 대역을 정의한다
- -d는 해당 rule을 적용할 destination address 대역을 정의한다
- address:{{PORT_RANGE}}로 SNAT할 때 port range까지 함께 지정할 수 있다.
위와 비슷한 방법으로 DNAT을 역시 설정할수 있으며 차이점은 POSTROUTING chain이 아닌 PREROUTING chain에 rule이 적용된다는 것이다. (route table 조회 이전)
예)
iptables -I PREROUTING -t nat -p tcp -s 10.10.0.0/16 -d 20.20.0.0/16 -j DNAT --to-destination 2.2.2.2:1000-1999
HONEY TIP : snat, dnat이 PREROUTING인지 POSTROUTING인지 헷갈리면, 이렇게 생각하자.
목적지에 대한 route 조회 이후 destination이 바뀌면 안 되니깐 dnat은 route 조회 이전에(PREROUTING) 수행한다..!(?)..(잉?)
반응형