启用IP转发:
echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-nat.conf
sudo sysctl -p /etc/sysctl.d/99-nat.conf配置firewalld NAT规则(假设外部接口为eth0):
sudo firewall-cmd --permanent --zone=public --add-masquerade
sudo firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=内网网段(如192.168.0.0/24) masquerade'
sudo firewall-cmd --reload验证配置:
sudo firewall-cmd --list-all --zone=public
cat /proc/sys/net/ipv4/ip_forward # 应输出1更多回答
在Rocky Linux 9里开NAT转发其实挺简单的。先改个系统参数:用root执行 echo 'net.ipv4.ip_forward=1' >> /etc/sysctl.conf,然后 sysctl -p 生效。接着用firewall-cmd开防火墙伪装:firewall-cmd --permanent --zone=public --add-masquerade,再允许转发,比如从内网到外网:firewall-cmd --permanent --zone=public --add-forward-port=port=:proto=tcp:toport=:toaddr=。最后 firewall-cmd --reload 搞定。记得根据自己网卡名改对应的zone和端口哈!
在Rocky Linux 9中设置NAT转发需通过防火墙规则和内核参数调整。步骤如下:1. 启用IP转发(临时生效:sysctl -w net.ipv4.ip_forward=1;永久生效需在/etc/sysctl.conf添加net.ipv4.ip_forward=1)。2. 使用firewalld配置NAT:通过firewall-cmd --permanent --zone=public --add-masquerade开启IP伪装。3. 添加转发规则(若需端口映射):firewall-cmd --permanent --zone=public --add-forward-port=port=80:proto=tcp:toport=8080:toaddr=内网IP。4. 重载防火墙:firewall-cmd --reload。验证时需检查SELinux策略及物理接口分配,建议通过tcpdump或curl测试连通性。
在Rocky Linux 9中启用NAT转发需通过内核参数调整及防火墙规则配置实现,步骤如下:
启用IP转发
sysctl -w net.ipv4.ip_forward=1 /etc/sysctl.conf 添加 net.ipv4.ip_forward = 1,执行 sysctl -p 生效配置Firewalld(推荐)
ens192,内部为 ens224:
firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=192.168.1.0/24 masquerade'
firewall-cmd --permanent --add-interface=ens224 --zone=internal
firewall-cmd --reload备选方案(iptables)
dnf install iptables-services iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
iptables-save > /etc/sysconfig/iptables
systemctl enable --now iptables验证
sysctl net.ipv4.ip_forward 注:若使用SELinux,需确认selinux-policy包版本兼容性,典型场景无需额外配置。接口名称需根据实际环境替换。
在Rocky Linux 9中配置NAT转发需通过防火墙策略与内核参数协同实现,以下是经过生产环境验证的实践方案:
内核级IP转发配置
# 持久化启用IP转发
sudo tee /etc/sysctl.d/99-ip-forward.conf <<EOF
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
EOF
# 立即生效配置
sudo sysctl -p /etc/sysctl.d/99-ip-forward.conf⚠️ 常见故障:若未正确配置selinux上下文可能导致规则失效,建议检查/etc/sysctl.d/目录权限
Firewalld动态配置
# 识别物理接口与虚拟接口(示例:ens192外网,ens224内网)
sudo firewall-cmd --permanent --zone=public \
--add-rich-rule='rule family=ipv4 source address=192.168.100.0/24 masquerade'
sudo firewall-cmd --permanent --zone=public --add-masquerade
sudo firewall-cmd --add-interface=ens224 --zone=trusted --permanent
sudo firewall-cmd --reload📌 生产经验:通过--add-rich-rule实现细粒度控制,比传统iptables方案更易维护
验证与排障
# 检查伪装状态
firewall-cmd --list-all --zone=public | grep masquerade
# 追踪数据包路径
sudo tcpdump -i ens224 -nnn 'port 53' # 验证DNS流量出口
sudo iptables-legacy -t nat -L -n -v # 兼容性检查🔧 典型挑战解决方案:
场景1:KVM虚拟机无法通过NAT访问外网
根本原因:虚拟网卡未加入trusted区域
修复方案:firewall-cmd --add-interface=vnet0 --zone=trusted --permanent
场景2:重启后规则丢失
排查路径:检查firewalld服务是否启用(systemctl is-enabled firewalld)
修复方案:确保使用--permanent参数后执行firewall-cmd --runtime-to-permanent
性能优化:对于高并发场景,建议在/etc/sysctl.conf中追加:
net.netfilter.nf_conntrack_max=524288
net.nf_conntrack_max=524288最终架构验证:通过curl --interface 192.168.100.10 http://example.com测试指定源IP出口,使用conntrack -L确认NAT会话建立状态。
在Rocky Linux 9中启用NAT转发需以下步骤:
启用IP转发:
/etc/sysctl.conf,设置 net.ipv4.ip_forward=1sysctl -p 生效配置NAT规则(二选一):
firewall-cmd --permanent --zone=public --add-masquerade
firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source address=内部子网(如192.168.1.0/24) masquerade'
firewall-cmd --reloadiptables -t nat -A POSTROUTING -o 外网接口(如eth0) -j MASQUERADE
yum install iptables-services
iptables-save > /etc/sysconfig/iptables
systemctl enable --now iptables允许流量转发:
firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -j ACCEPT
firewall-cmd --reload验证:cat /proc/sys/net/ipv4/ip_forward 应返回1,并通过内部设备测试外网访问。