用iptables做IP的静态映射(1)

用iptables做IP的静态映射(1)

用iptables做IP的静态映射还是跟端口映射做的工作差不多，具体操作如下：

其实静态映射和端口映射差不多是一个意思，只不过IP静态是整个把内部网的服务器转到internet上(或者外部网络上)去，而端口映射只是把内网的某些服务端口映射到外网服务器的某个端口上。

或许有的兄弟会奇怪为什么要做ip静态映射呢?直接设置为外网IP不就完了?其实原因很简单，为了方便统一管理和制定安全策略。假设你的服务器要搬迁、更换，如果只有一台还好说——在这台服务器上更改一下IP地址或者把新的服务器地址改为老服务器地址换上去就行了，如果有好几台服务器呢?你就不得不面对更长的断网时间……使用静态IP映射能够让你更方便的管理多台服务器，同时增加了安全性(等于凭空给服务器作了一个防火墙啊)。假设你想用新的服务器替换老服务器，可以给新的服务器分配另外的外网IP或者用端口映射(与IP静态映射差不多，个人觉得不如IP静态映射来的方便)，测试功能完全实现后，直接修改防火墙配置，只是一瞬间，网站就能实现切换，切换完毕后再处理老服务器。搬迁的时候也是，不必给每个服务器都更改IP地址、子网掩码什么的一大堆，全都接到防火墙上，把防火墙上的IP更改一次就完事，真正服务器的ip地址都不用改(反正都是私网地址)。好处目前想到的就这些啦。

其实配置还是很简单的。

我们假设你有两台web服务器，ip地址为192.168.1.1和192.168.1.2，一台交换机，一台linux双网卡服务器(做防火墙和ip静态映射用)，一根外线，数个可用的公网IP(假设为1.1.1.1~1.1.1.6)，而你想让大家通过访问1.1.1.2访问第一台web服务器，通过访问1.1.1.3访问第二台。将外线接在linux服务器的一块网卡上(比如eth0)，设置该网卡地址为1.1.1.1;再用网线连接另外一块网卡(比如eth1)到交换机上，设置ip地址为192.168.1.254。两台web分别接到交换机上，网关设置为192.168.1.254(也就是linux防火墙的内网地址啦)。