iptables的理解问题兼及iptables配置dnat, snat

最新推荐文章于 2024-08-14 17:15:17 发布
最新推荐文章于 2024-08-14 17:15:17 发布
阅读量889 收藏
点赞数
分类专栏: centos iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anzhuangguai/article/details/53332934
版权

iptables的netfilter框架是基于会话的,因而理解起来和单包发送不同,和路由器的理解也不同。

参考中的文档是我刚看到的文档,我认为其配置是不太对的,其人对事情的理解是错误的、模糊的。

特在此写一下我的理解

拓扑

z-xp(1.1.1.3)--(1.1.1.1)iptables(2.2.2.1)---WebServer(2.2.2.2)

配置示例

iptables -F

iptables -t nat -F

以上清空对应类型的规则表

iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to 2.2.2.2:80

iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 80 -j SNAT --to 2.2.2.1


正确的原理:

客户端1.1.1.3访问1.1.1.1:80,iptables将数据包翻译为发往2.2.2.2:80(PREROUTING未做路由前, DNAT),此时源IP为客户端IP
iptables查找路由,准备发送(POSTROUTING,路由后,SNAT),

发送时将这个会话(即目的地址是2.2.2.2:80的tcp会话)又做了新翻译,
翻译的方法是将其源地址改为2.2.2.1(端口未变),然后发出去。这个翻译就是后面加的一条SNAT规则,

将发到webserver的数据包SNAT
因而从WebServer看收到的数据包全都是来自于2.2.2.1,这样webServer可以直接回给2.2.2.1。

iptables设备收到回包,由于其是基于会话的,

因而将这个回包视为与原请求包相对应的回应报文(虽然做了2次翻译),在发回到z-xp之前,

从z-xp角度看,回应报文的源地址使用1.1.1.1,目的地址使用1.1.1.3。


抓包分析证明了这个理解,在webserver侧抓包,

发现收到的都是2.2.2.1发送的报文,并无来自外网IP的报文


参考:

http://www.haiyun.me/archives/iptables-dnat-public-ip.html

原文章:

Iptables实现公网IP DNAT/SNAT

发布时间:June 13, 2013 // 分类:Iptables // No Comments

Iptables实现NAT是最基本的功能,大部分家用路由都是基于其SNAT方式上网,使用Iptables实现外网DNAT也很简单,不过经常会出现不能正常NAT的现象。
以下命令将客户端访问1.1.1.1的HTTP数据DNAT到2.2.2.2,很多人往往只做这一步,然后测试不能正常连接。

1
iptables -t nat -A PREROUTING -p tcp -d 1.1.1.1 --dport 80 -j DNAT --to 2.2.2.2:80

想像一下此时客户端访问1.1.1.1的数据流程:

1
2
3
4
客户端访问1.1.1.1
1.1.1.1根据Iptables DNA将数据包发往2.2.2.2,此时源IP为客户端IP
2.2.2.2处理后根据源IP直接向客户端返回数据,要知道此时客户端是直接和1.1.1.1连接的
然后呢,客户端不知所云,不能正常连接

最后还要添加一条SNAT规则,将发到2.2.2.2的数据包SNAT,1.1.1.1充当代理服务器的角色。

1
iptables -t nat -A POSTROUTING -d 2.2.2.2 -j SNAT --to- source 1.1.1.1

别忘记开启内核转发功能:

1
echo 1 > /proc/sys/net/ipv4/ip_forward

软柿子捏捏
关注
专栏目录
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2858
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
iptables防火墙之SNAT与DNAT
weixin_67582338的博客
05-12 3432
一、SNAT策略及应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.1.2 SNAT 原理 (1)源地址转换 (2)修改数据包的源IP地址,通常被叫做源映射。 1.1.3 SNAT 转换前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 Linux系统本身是没有转发功能,只有路由发送数据。 1.2 开启SNAT的命
iptables DNAT详解
热门推荐
韦编二绝
07-22 1万+
文章出处:http://hi.baidu.com/allenspace/blog/item/cbba05f3b41c5dcb0b46e0ef.html/cmtid/4259a264aa35ecfcf636545f   DNAT target     这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可
Iptables防火墙SNAT和DNAT
最新发布
weixin_56770318的博客
08-14 1046
DNAT原理与应用: DNAT应用环境:在Internet中发布位于局域网内的服务器 DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。DNAT:destination NAT 支持PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改目标IP。DNATnat表的target,适用于端口映射,即可重定向到本机,也可以支持重定向至不同主机的不同端。
Linux里的防火墙(中):使用iptables实现DNAT和SNAT
shinfocom
08-21 308
SNAT(源地址转换) 和 DNAT(目标地址转化)都是为了解决网络地址不足而演变出的技术。 相关概念: SNAT:源地址转换,顾名思义,就是为了将ip数据包里的源地址替换成我们希望替换掉的地址。 DNAT:目标地址转换,是为了将IP数据包中的目标地址转换成我们希望替换掉的地址。它们的应用: SNAT (一)想象一下,一个公司申请到了一个公网Ip,现在公司内有30台电脑,都处于192...
iptables中DNAT配置方法
weixin_30877181的博客
04-08 112
1.一对一流量完全DNAT 首先说一下网络环境,普通主机一台做防火墙用,网卡两块 eth0 192.168.0.1 内网 eth1 202.202.202.1 外网 内网中一台主机 192.168.0.101 现在要把外网访问202.202.202.1的所有流量映射到192.168.0.101上 命令如下: [xhtml] view plaincopy #将防火墙改为转发模式 ...
Linux防火墙iptables(二)之SNAT和DNAT
m0_56107775的博客
05-27 574
目录一、二、三、 一、 二、 三、
防火墙iptables 之 SNAT和DNAT
qq_64333664的博客
09-26 495
(1)tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。Net:网段,host:主机。(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。(4)-s 0 ∶ 抓取数据包时默认抓取长度为68字节。:192.168.100.102(nat1)、关闭防火墙和selinux、开启http服务。ip:12.0.0.1(nat2)、关闭防火墙和selinux、开启http服务。
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
linux iptables dnat
weixin_34345560的博客
05-05 96
linux iptables 公网、网关做DNAT192.168.18.230 <-------> 192.168.18.130 192.168.11.130<-------> 192.168.11.131iptables-tnat-APREROUTING-ptcp-d192.168.18.130--dport2222-jD...
iptables-dnat
09-20
iptables nat snat dnat 负载均衡
iptables 出数据包做DNAT
m0_37549390的博客
09-08 903
!!!!!学习累,没人带好难 有个需求,就是在本地通过一台代理(1.1.1.1)访问它后面的服务(2.2.2.2),需要直接配置本地应用的访问地址为服务的地址,但是本地网络到服务又是无法直接通信的。于是想到用iptables规则,对发出的数据包做dnat处理,即本地应用直接访问2.2.2.2,然后将请求的目的地址通过dnat替换成1.1.1.1。先说一下成功的做法,后面再探讨一下操作的误区和一些思考。(以下操作全都在本地应用节点上进行) 百度搜索 “iptables 将主机发出的目的地址改掉” 这几个字找到
iptables SNAT DNAT实战
kuangfeng的博客
05-12 485
iptables SNAT DNAT实战
Iptables DNAT实现broadcast与unicast之间相互映射
sxd2001的博客
05-29 948
用ebtables +iptables 实现广播到单播的DNAT
iptables 防火墙中的SNAT和DNAT
WuDan_1112的博客
05-11 1691
前言 通过上一章的学习,我们认识了防火墙的表、链结构,并学会了简单的编写防火墙的规则。Linux 防火墙在很多的时候承担着连接企业内、外网的重任,除了提供数据包过滤以外,还提供一些基本的网关应用。下面我们将了解防火墙中的SNAT 和DNAT策略。 一、SNAT策略 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT原理 源地址转换(Source Network Address Translation),根据指
iptables防火墙(二)——SNAT和DNAT
ver_mouth__的博客
05-11 1187
一:SNAT策略及应用 1.1SNAT应用环境和SNAT策略的原理 1.1.1SNAT策略的典型应用环境 局域网主机共享单个公网ip地址接入internet 1.1.2SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 1.1.3SNAT转换前提条件 ①局域网各主机已正确设置IP地址、子网掩码、默认网关地址 ②Linux网关开启IP路由转发 Linux想系统本身是没有转发功能,只能路由发送数据 临时打开: ech
防火墙--iptables(SNAT和DNAT
weixin_48118868的博客
11-23 2299
文章目录1.iptables服务环境2.iptables配置3.数据包过滤的匹配流程4.iptables规则4.1iptables规则表4.2iptables规则链4.3表、链归纳图5.iptables基本语法5.1规则的匹配条件5.1.1通用匹配5.1.2隐含匹配5.1.3显式匹配6. SNAT和DNAT6.1环境准备6.2 SNAT6.2.1 SNAT策略配置6.3 DNAT6.3.1 DNAT策略配置 1.iptables服务环境 systemctl stop firewalld ##关闭firew
iptables SNAT DNAT
07-28
SNAT和DNATiptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值