Implement NAT via iptables

最新推荐文章于 2022-01-30 21:57:35 发布
最新推荐文章于 2022-01-30 21:57:35 发布
阅读量901 收藏
点赞数
分类专栏: Linux & Embedded & Network 文章标签: iptables linux nat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyunzhang/article/details/7472004
版权
DMZ ( demilitarized zone ) 和 Virtual server 是NAT ( Network Address Translation ) 两种不同层次的实现.


DMZ 技术是将 DMZ主机的全部端口开放给网关外部访问,即当外部网络访问该网关IP(任何端口/服务, 例如80端口的httpd服务),该网关将数据包转给DMZ主机(访问的就是DMZ主机的网页)。

Virtual server 与DMZ类似,但它比DMZ控制得更详细,必须详细指明相应的协议和端口/服务(例如下面实例中的 -p tcp --dport 80),当配置的是80/httpd,只是将从网关80端口来的包转发到指定的Virtual server主机(访问的是Virtual server的网页,此时Virtual server就是Http server),当配置的是23/telnetd 转发的只是23端口的包。

以下是DMZ和Virtual server的配置实例:

环境说明:
router/gate-way wan interface: eth2 172.16.15.55, netmask: 255.255.224.0
router/gate-way lan interface: eth0 (briged to br0), netmask: 192.168.1.0/24

interal device/pc address: 192.168.1.25


DMZ host is192.168.1.25:

iptables -t nat -A PREROUTING -i eth2 -j DNAT --to-destination 192.168.1.25
iptables -I FORWARD 1 -i eth2 -d 192.168.1.25 -j ACCEPT
这样 router/gate-way的wan端不管是以172.16.15.55:80还是172.16.15.55:23等端口,访问的都是内部 192.168.1.25 上的相应服务。


Virtual server is httpd server in lan side:

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j DNAT --to192.168.1.25
iptables -I FORWARD 1 -i eth2 -p tcp -d 192.168.1.25 -j ACCEPT
如果想不影响本地网页的浏览,可以改用别的端口(8000)作为内部服务的访问(端口映射): 

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 8000 -j DNAT --to 192.168.1.25:80
iptables -I FORWARD 1 -i eth2 -p tcp -d 192.168.1.25 --dport 80 -j ACCEPT
这样router/gate-way的wan端以172.16.15.55:80仍然可以访问router/gate-way的配置网页,以172.16.15.55:8000就可以访问192.168.1.25的配置网页了。


可以看出DMZ和Virtual server做的都是DNAT,即从wan口访问router/gate-way的某服务端口,其实是向router/gate-way内部网络的某设备/pc上的相对应的服务。且只能是wan端的客户访问lan端的服务才有这种端口转发/端口映射的关系,lan端的客户以router/gate-way的wan端地址是访问不了lan端的服务的(如果要实现此功能,也即所谓的NAT loopback的功能,是完全没问题的,只不过要做一下SNAT的iptables命令)。

//TODO


vincozhang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fpga.rar_IMPLEMENT
09-14
fpga important document to implement in fpga with vhdl language
Linux防火墙NAT之SIP
redwingz的博客
03-24 2750
环境:防火墙 - Ubuntu Server 17.10.SIP - Yate客户端,Asterisk服务器网络拓扑:1)防火墙配置IP,打开转发: ifconfig enp2s0 192.168.1.131 ifconfig enp3s0 192.168.100.1 echo 1 > /proc/sys/net/ipv4/ip_forward2)加载nf_nat_s...
NAT SIP helper
redwingz的博客
01-30 2458
函数nf_nat_sip_init注册SIP协议的NAT helper,用于修改协议报文中的地址和端口信息。如下nf_nat_sip_hooks结构变量sip_hooks,赋值于nf_nat_sip_hooks,在SIP连接跟踪中使用。msg指针函数主要用于修改SIP消息中的字段,其它sdp开头的指针函数修改SDP消息中的字段。 static const struct nf_nat_sip_hooks sip_hooks = { .msg = nf_nat_sip, .seq_
iptables
拒绝黑盒,享受开源
01-20 460
iptables 入门参考:http://www.zsythink.net/archives/1199/ 四表五链(默认) 表(Table, 适配匹配的规则rule) raw:PREROUTING, OUTPUT mangle: PREROUTING, INPUT, FORWARD, OUTPUT, POSTROUTING nat: PREROUTING, OUTPUT, POSTROUTIN.........
四种NATiptables实现
乖乖的专栏
01-05 5288
IPtabels被认为是Linux中实现包过滤功能的第四代应用程序。iptables包含在2.4以后的内核中,它可以实现防火墙、NAT(网络地址翻译)和数据包的分割等功能。本文讲述的是四种NATiptables的实现。 四种NATiptables实现: 1. Full Cone NAT:所有来自同一个内部Tuple X的请求均被NAT转换至同一个
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
yy.rar_IMPLEMENT _SRM
09-23
Implement of SRM Position Check ing Ar ithmetic Ba sed on FPGA
lms.rar_LMS implement_lms
09-22
file gives idea how to implement lms algorithm
hadoop join implement
10-17
Joins in Hadoop has always been a problem for its users: the Map/Reduce framework seems to be specifically designed for group-by aggregation tasks rather than across-table op- erations;...
Implementation of GUI in the_IMPLEMENT_The_GUI_
09-28
Implementation of GUI in the ...
iptables NAT地址池中的地址选取
BOKE
10-15 2428
static void find_best_ips_proto(struct nf_conntrack_tuple *tuple,    const struct nf_nat_range *range,    const struct nf_conn *ct,    enum nf_nat_manip_type maniptype) { __be32 *var_ipp; /* Ho
线程创建之重要属性PTHREAD_CREATE_DETACHED
Vinco's special column
04-15 1万+
#include int pthread_join(pthread_t thread, void **value_ptr); int pthread_detach(pthread_t thread); int pthread_attr_setdetachstate(pthread_attr_t *attr, int detachstate); int pthread_attr_set
NAT loopback
Vinco's special column
07-11 1万+
在我的blogImplement NAT via iptables有这么一说: DMZ和Virtual server做的都是DNAT,即从wan口访问router/gate-way的某服务端口,其实是向router/gate-way内部网络的某设备/pc上的相对应的服务。且只能是wan端的客户访问lan端的服务才有这种端口转发/端口映射的关系,lan端的客户以router/gate-way的
嵌入式编译时 ld: cannot find -lxxx 和 ld:skipping incompatible
Vinco's special column
06-05 9178
编译源代码时报错: /opt/toolchains/uclibc-crosstools-gcc-4.2.3-3/usr/bin/../lib/gcc/mips-linux-uclibc/4.2.3/../../../../mips-linux-uclibc/bin/ld: cannot find -lrvsip 原来是radv没有编译,librvsip.a也没有生成。 cd
error:The C++ compiler does not work
Vinco's special column
05-24 5555
xi error: The C++ compiler does not work. Please (re)install the C++ compiler yum install gcc-c++
Linux 远程登录 Windows 主机
Vinco's special column
05-28 3791
Windows 远程访问windows : 开始->运行->mstsc 回车,打开远程登录界面 Linux 远程访问windows : 用 rdesktop命令,Windows 不需要装任何服务器软件 yum install rdesktop 或 源码( http://www.rdesktop.org/)经典的安装( ./configure; make; make i
No manual entry for pthread_create
Vinco's special column
07-27 3579
If you want to start programming in Ubuntu, one of the major requirement is to install the man pages. To start pthread programming in Ubuntu
DNS域名验证测试
Vinco's special column
05-24 1167
nslookup pcscf.open-ims.test 192.168.19.128 ping pcscf.open-ims.test  dig @127.0.0.1 pcscf.open-ims.test
IMPLEMENT_REFCOUNTING
最新发布
04-04
IMPLEMENT_REFCOUNTING是一个宏,用于实现引用计数机制。引用计数是一种内存管理技术,用于跟踪对象被引用的次数,当引用计数为0时,对象会被自动销毁。 在C++中,使用引用计数可以解决对象的生命周期管理问题,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值