在防火墙配置策略当中有SNAT以及DNAT之分，两者各有区别，今天先来说明一下SNAT。

多应用在公司只有一个外网IP,那么整个公司的内网,该怎么上网呢?

要想都能够访问外网,就可以通过防火墙规则将它们出去时的源地址修改成唯一的公网IP,然后与外网对接,数据返回之后,它再交给内网(局域网)PC机。

现在可以通过简单的实验来做个验证。

条件：

1， 内网各主机将设置正确的IP地址/子网掩码，并设置网关服务器的内网IP为默认网关地址。（可由DHCP服务器分发）

route add default gw 192.168.66.20

2， 网关服务器支持IP路由转发，并编写SNAT转换规则。

vim /etc/sysctl.conf
其中的net.ipv4.ip_forward = 1	#开启转发
sysctl -p  #加载一下

#iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -o eth1 -j SNAT --to-source 200.200.200.10	

解释这条规则如下：

查看一下这条规则

3， 外网服务器，安装apache，写一个测试网页！

yum -y install httpd
echo “11111” >  /var/www/html/index.html
service httpd start

测试：

直接在内网主机输入curl 200.200.200.20，如果访问到，则说明成功。

插曲：

上边是针对企业中常应用的，但在家庭当中，很少有固定地址，一般都是动态地址，也就是说，出去的跳板是变动的，这样刚才所设置的规则就不行了，不过现在可以通过一个叫做MASQUERADE—-地址伪装来解决。

按刚才的环境不变，清空刚才的的防火墙规则。重新添加。

iptables	-F -t nat
iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -o eth1 -j MASQUERADE

ok，现在，可以模拟改变外网IP

ifconfig eth1 200.200.200.200 netmask 255.255.255.0

测试：

直接在内网主机输入curl 200.200.200.20，如果访问到，则说明成功。