CentOS网络地址转换详解（手把手教你配置NAT实现内网共享上网）

一、什么是NAT？

网络地址转换（Network Address Translation，简称NAT）是一种将私有IP地址转换为公网IP地址的技术。它允许多个内网设备共享一个公网IP访问外部网络，同时还能隐藏内部网络结构，提升安全性。

二、准备工作

在开始配置前，请确保满足以下条件：

• 一台安装了CentOS 7/8/Stream的服务器（作为网关）
• 该服务器拥有两个网络接口：一个连接外网（如eth0），一个连接内网（如eth2）
• 内网设备已正确连接到内网接口，并配置了网关为CentOS服务器的内网IP
• 你拥有root权限或sudo权限

三、启用IP转发

NAT的核心是IP转发功能。首先，我们需要在CentOS中启用它：

# 临时启用（重启后失效）echo 1 > /proc/sys/net/ipv4/ip_forward# 永久启用（推荐）sudo vim /etc/sysctl.conf# 在文件末尾添加以下行net.ipv4.ip_forward = 1# 然后执行以下命令使配置生效sudo sysctl -p  

四、使用iptables配置NAT规则

CentOS默认使用iptables（在CentOS 7及更早版本）或firewalld（CentOS 8+）来管理防火墙。这里我们以iptables为例，这也是最经典的iptables NAT设置方式。

假设你的外网接口是 eth0，内网接口是 eth2，内网网段为 192.168.10.0/24。

# 安装iptables-services（如果未安装）sudo yum install -y iptables-services# 启动并设置开机自启sudo systemctl start iptablessudo systemctl enable iptables# 清空现有规则（谨慎操作）sudo iptables -Fsudo iptables -t nat -F# 允许内网访问外网（FORWARD链）sudo iptables -A FORWARD -i eth2 -o eth0 -j ACCEPTsudo iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT# 配置SNAT（源地址转换）——关键步骤！sudo iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE# 保存规则（CentOS 7）sudo service iptables save  

上述命令中的 MASQUERADE 会自动将内网IP替换为外网接口的IP。如果你有固定公网IP，也可以使用 SNAT 指定具体IP：

sudo iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j SNAT --to-source 203.0.113.10  

五、验证NAT是否生效

1. 在内网的一台电脑上，设置网关为CentOS服务器的内网IP（如192.168.10.1）
2. 尝试ping一个外网地址，例如：ping 8.8.8.8
3. 如果能通，说明NAT配置成功！

六、常见问题与注意事项

• 确保CentOS防火墙NAT规则没有被其他安全组或云平台策略拦截（如阿里云、AWS需额外配置安全组）
• 如果使用firewalld（CentOS 8+），可使用 firewall-cmd --permanent --zone=external --add-masquerade 实现类似功能
• 每次修改iptables规则后记得保存，否则重启后会丢失
• 内网设备必须正确设置DNS，否则可能无法解析域名

七、总结

通过本文的详细步骤，你应该已经掌握了在CentOS NAT配置的基本方法。NAT不仅是网络共享的基础，也是构建安全边界的重要手段。掌握这项技能，对运维和网络安全工作都大有裨益。

关键词回顾：CentOS NAT配置、网络地址转换教程、CentOS防火墙NAT、iptables NAT设置。