linux arp代理,DMZ与NAT

最新推荐文章于 2023-02-04 22:42:33 发布
最新推荐文章于 2023-02-04 22:42:33 发布
阅读量1.2k 收藏
点赞数
分类专栏: linux kernel

Linux系统缺省并没有打开IP转发功能,要确认IP转发功能的状态,可以查看/proc文件系统,使用下面命令:

cat /proc/sys/net/ipv4/ip_forward

如果上述文件中的值为0,说明禁止进行IP转发;如果是1,则说明IP转发功能已经打开。

要想打开IP转发功能,可以直接修改上述文件:

echo 1 > /proc/sys/net/ipv4/ip_forward

把文件的内容由0修改为1。禁用IP转发则把1改为0。

上面的命令并没有保存对IP转发配置的更改,下次系统启动时仍会使用原来的值,要想永久修改IP转发,需要修改/etc/sysctl.conf文件,修改下面一行的值:

net.ipv4.ip_forward = 1

修改后可以重启系统来使修改生效,也可以执行下面的命令来使修改生效:

sysctl -p /etc/sysctl.conf

进行了上面的配置后,IP转发功能就永久使能了

有时候我们会在一个已有网络(10.10.10.0/24)内组建一个实验网络(192.168.1.0/24),网络结构如上图所示。

假设我们不能控制(修改)A网络内除D主机以外的系统配置,但可以完全控制网络B内的主机。

此时Server D实际上要承担一个路由的角色(它有两张网卡分别在两个网络A,B内)

所以先打开其上的内核路由转发功能,修改/etc/sysctl.conf中的如下配置

net.ipv4.ip_forward = 1

保存后应用查看

1
2
# sysctl -p
net.ipv4.ip_forward = 1

另外需要保证Server D上的路由表配置正确,这里我们假设D上10.10.10.103所在的接口为eth0, 而192.168.1.1所在的接口为eth1

最后将网络B内的主机的默认网关都设置为Server D的192.168.1.1地址,到此准备工作已经完成。下面可以采用不同的方法来使得网络B和网络A中的主机实现不同程度的互联。

SNAT

如果想让B网络内的所有主机单向访问A网络内的资源可以在Server D上做一个NAT(SNAT):

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

这种方法就是最常用的NAT,内部网络B中的主机可以主动发起请求访问的外网A中的资源,实现内外网主机通信,但是外网A内的主机无法主动与内网主机建立连接。内网B中的主机没有A网内的独立IP。

如果只想让某台B网中的主机访问A网,则可以限定来源IP,具体可以参考iptables手册:

iptables -t nat -A POSTROUTING -s 192.168.100.100 -o eth0 -j MASQUERADE

SNAT + DNAT + ARP代理 = 浮动IP

如果我们想为网络B内的Server E分配一个IP如10.10.10.104(A网络的地址),使得网络A内的主机可以直接访问主机E

此时我们可以在Server D上先做一个SNAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.100(E在B网内的地址) -j SNAT --to-source 10.10.10.104

这样网络A网络收到Server E发出的包时,看到的IP就是10.10.10.104,其响应也会回发给这个地址

然后我们在Server D(网关)上做一个DNAT:

iptables -t nat -A PREROUTING -i eth0 -d 10.10.10.104 -j DNAT --to-destination 192.168.1.100

这样Server D收到目的IP为10.10.10.104的包时就会修改目的IP为网络B内的Server E的IP(192.168.1.100),自然的按照Server D上的路由规则这个包会从接口eth1出去,经过交换机B,到达Server E。

现在还存在一个问题,我们不能修改网络A内的主机配置,怎么做才能让IP为10.10.10.104的包发到Server D来(因为主机D自己的IP是10.10.10.103)。如果我们自Server D上再插入一张网卡,让后将其地址设为10.10.10.104就可以,不过我们没有必要这么做。我们在主机D的eth0接口上加入一个次级地址即可

ip addr add 10.10.10.104/24 dev eth0

这样网络A内的主机在使用ARP协议查询10.10.10.104所对应的MAC地址时,Server D就能做出响应,发送一个虚拟的MAC地址,于是发往10.10.10.104的包就会到达主机D,在进行上述的DNAT步骤,两边就可以互通了。

服务端口映射 SNAT + DNAT

浮动IP的方案需要占用一个网络A的IP,且会完全暴露主机E,有时可以通过端口映射向外部网络A暴露网络B内的服务,如将Server D上的2222端口与Server E上的22端口建立映射,这样网络A内的主机访问10.10.10.103:2222实际就是访问网络B内的主机192.168.100:22。

carltraveler
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
zabbix服务端连接客户端报错Received empty response from Zabbix Agent at [192.168.10.105]. Assuming that agent d...
03-06 8512
这是zabbix WEB报的问题:Received empty response from Zabbix Agent at [192.168.10.105]. Assuming that agent dropped connection because of access permissions 如果全部配置好了查看服务是否开启: ps -ef |grep zabbix ...
DMZNAT簡介
07-25
介紹dmznat的基本文件,歡迎大家下載喔
MySQL-Proxy
10-09
MySQL数据库主从复制以及读写分离搭建过程
NATDMZ的介绍
05-03
NATDMZ的介绍,需要的可以参考下。
Linux防火墙构建DMZ.pdf
09-07
Linux防火墙构建DMZ.pdf
详解DMZ的部署与配置:ISA2006系列之二十九
weixin_33795833的博客
09-25 876
DMZ的部署及配置 DMZ是Demilitarized Zone的缩写,俗称非军事化隔离区。DMZ是一个位于内网和外网之间的特殊区域,一般用于放置公司对外开放的服务器,例如Web服务器,Ftp服务器,邮件服务器等。其实从ISA的角度来看,DMZ就是一个网络。有些朋友可能会有些疑问,为什么不把这些服务器直接放到内网呢?为什么需要DMZ这个单独的网络呢?被发布的服务器放在内网是可以的,我们在前面的博...
prometheus +granfana监控告警
qq_42554735的博客
11-30 1957
编号 hostname hostIP 安装包 1 prometheus 192.168.10.102 prometheus-2.23.0.linux-amd64.tar.gz (github.com) 2 agent 192.168.10.103 node_exporter-1.0.1.linux-amd64.tar.gz (github.com) 3 grafana 192.168.10.104 https://dl.grafana.com/oss/release/grafana-...
Masscan使用教程.
qq_59923059的博客
05-21 1万+
Masscan是什么以及使用方法
mysql-proxy安装配置
贾己人的博客
12-03 2915
mysql-proxy安装配置 MySQL-Proxy地址:192.168.10.103 MYSQL主库地址:192.168.10.104 MYSQL从库地址:192.168.10.105安装过程: 1.先安装lua Lua 是一个小巧的脚本语言。Lua由标准C编写而成,代码简洁优美,几乎在所有操作系统和平台上都可以编译,运行。 一个完整的Lua解释器不过200k,在目前所有脚本...
ceph集群部署
qq_42554735的博客
11-27 1235
一、ceph特点高性能 1. 摒弃了传统的集中式存储元数据寻址的方案,采用CRUSH算法,数据分布均衡, 并行度高。 2.考虑了容灾域的隔离,能够实现各类负载的副本放置规则,例如跨机房、机架 感知等。 3. 能够支持上千个存储节点的规模,支持TB到PB级的数据。 高可用性: 1. 副本数可以灵活控制。 2. 支持故障域分隔,数据强一致性。 3. 多种故障场景自动进行修复自愈。 4. 没有单点故障,自动管理。 高可扩展性: 1. 去中心化。 2. 扩展灵活。 3. 随着节点增加而线性增长。 特性丰富:
Linux ARP代理NAT
tycoon的专栏
11-04 2431
Linux系统缺省并没有打开IP转发功能,要确认IP转发功能的状态,可以查看/proc文件系统,使用下面命令: cat /proc/sys/net/ipv4/ip_forward 如果上述文件中的值为0,说明禁止进行IP转发;如果是1,则说明IP转发功能已经打开。 要想打开IP转发功能,可以直接修改上述文件: echo 1 > /proc/sys/net/ipv4/ip_forwa
基于Linux透明式DMZ防火墙的实现.pdf
09-07
基于Linux透明式DMZ防火墙的实现.pdf
基于LinuxDMZ区部署.pdf
09-06
基于LinuxDMZ区部署.pdf
Linux之(19)arp命令
Once_day的回忆
02-04 5177
Author:OnceDay Date:2023年2月4日漫漫长路,有人对你微笑过嘛…彻底搞懂系列之:ARP协议 - 知乎 (zhihu.com)《TCP/IP详解:卷1协议》第四章Linux 命令(199)—— arp 命令 - 腾讯云开发者社区-腾讯云 (tencent.com)地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。
NAT DMZ服务
每一件自己觉得值得的事都要不留余力的去做
06-07 1万+
NAT DMZ,又称Pseudo DMZ。在开启NAT DMZ服务后,网关会将所有外网发起,不符合现有连接和转发规则的数据全部转发到您设置的NAT DMZ主机地址。
TP-LINK 1208路由器教程(2)
mingqing的博客
06-17 7587
TL-WDR6300路由器使用
常见路由器配置NAT/UPNP/DMZ方法
热门推荐
Dyson_HQ的博客
06-08 2万+
NAT
linux 系统arp检测工具,linux网络常用诊断工具
weixin_39976153的博客
05-09 369
ping命令是检测网络通讯链路状况工具之一,主要用于查看网络上另一个主机系统的网络连接是否正常。参数:-c 设置完成要求回应的次数。-f 极限检测。-i 指定收发信息的间隔时间。-l 设置在送出ICMP包前,先行发出的数据包。-n 只输出数值。-p 设置填满数据包的范本样式。-q 不显示指令执行过程。-R 记录路由过程。-s 设置数据包的大小。-t 设置存活...
0017音乐播放器(1)AdobeXD源码下载设计素材UI设计.xd
最新发布
04-23
0017音乐播放器(1)AdobeXD源码下载设计素材UI设计
防火墙dmz和trust互通
06-11
在一些特定的场景中,需要将DMZ区域和Trust区域进行互通,这时需要进行一些额外的配置。以下是一种可能的配置方法: 1. 在防火墙上配置允许DMZ区域和Trust区域之间的通信,可以通过配置访问控制列表(ACL)或者安全策略来实现。 2. 配置NAT,将DMZ中的服务器地址映射为Trust区域中的地址,这样就可以在Trust区域中访问DMZ中的服务器。 3. 配置反向代理服务器,将Trust区域中的请求转发到DMZ中的服务器上,这样Trust区域中的客户端就可以访问DMZ中的服务器。 需要注意的是,在进行DMZ和Trust互通的配置时,需要确保安全性和稳定性。建议在实际操作中先进行测试,确保配置正确且不会对网络安全造成风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值