iptables 防火墙 二 SNAT与DNAT

于 2024-05-22 17:25:41 发布
阅读量1k 收藏 21
点赞数 26
分类专栏: 防火墙 文章标签: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83786744/article/details/139119342
版权

SNAT原理与应用

SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)

SNAT原理

修改数据包的源地址。
SNAT转换前提条件:     

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发
临时打开:
 

echo 1 > /proc/sys/net/ipv4/ip_forward

sysctl -w net.ipv4.ip_forward=1

永久打开:

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1   

  

   #将此行写入配置文件

sysctl -p       

                 

#读取修改后的配置
 

规则的导入与导出

永久保存配置的规则

iptables-save > /opt/iptables.txt

文件还原

iptables-restore < /opt/iptables.txt

使用重定向的方式实现规则的保存,需要还原时,从文件中提取之前保存好的文件

SNAT策略的工作原理

通过地址转换实现外网与内网的互联

使得在内网的主机可以访问在外网的服务器,正确情况下访问外网,在外网返回消息时会被拦截。这是在不做地址转换的情况下,源地址为私网地址,目的地址为公网地址,根据路由转发转发到在公网的服务器,可以正产转发过去。这时服务器发送应答的数据包,目的地址就会变成源地址,源地址也就成了目的地址,也就是处于内网中的客户端,但是这个是不能被路由正常访问的,服务端返回的数据包无法被正常返回过来。所以处于内网的客户机无法访问处于外网的服务端。

NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信,NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发

数据包从内网发往外网,时,NAT会将数据包的源IP由私网地址转换成公网地址当响应的数据包要从公网返回到私网时,NAT会将数据包的目的IP由公网地址转换成私网地址

这就是NAT的工作原理,来实现信息的互通。

SNAT转换公网ip

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1  #-t指定nat表,-s指定源地址或源地址网段,-o指定出站网卡,-j指定规则类型,--to修改源地址为网关服务器的外网网卡地址或者外网地址池

iptables -t nat -A POSTROUTING -s 192.168.80.0/24(内网IP) -o ens33( 出站外网网卡)-j SNAT --to-source 12.0.0.1-12.0.0.10(外网IP或地址池)

实验步骤

配置四台虚拟机,配置对应的ip地址和网卡地址网关地址。

实验前注意关闭防火墙与清空iptables里的规则,以免对实验造成影响。、

根据上图,配置对应的ip地址与网段

在nat表中添加规则做地址转换,将源地址私有网段 192.168.80.0映射为公网地址12.0.0.30

实验步骤

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward

sysctl -w net.ipv4.ip_forward=1

永久打开:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1         #将此行写入配置文件

sysctl -p                         #读取修改后的配置


SNAT转换1:固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to 12.0.0.1

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                    内网IP         出站 外网网卡                 外网IP或地址池        

SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE
 

DNAT策略

DNAT原理与应用

DNAT 应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:修改数据包的目的地址。
DNAT转换前提条件:
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
 

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1     

DNAT的工作原理

将外网发来的请求数据包,将他的公网ip和端口号转换成私网ip的端口号,再根据路由转发给对应的内网服务器,响应将内网服务器返回的应答数据包的源地址由私网ip和它对应的端口转换为它所对应的公网ip和它的端口。

处于互联网中的客户端需要访问处于内网的服务器

第一步各个主机配好相对应的ip地址,客户端和服务器他们的网关要对应上对应的网关服务器和接口

第二步,外网服务端都是根据DNS访问,根据域名访问做DNS解析

第三步网关路由服务器要支持ip路由转发

第四步编写DNAT转换规则


net.ipv4.ip_forward = 1

修改文件,开启路由转发功能

修改nat表中的prerouing链中的规则,经过入站网卡ens33,将目的地址为12.0.0.30端口为3000的转换为192.168.80.20的80端口号。

依次修改其他主机的网口号和端口号ip等

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.30 -p tcp --dport 2345 -j DNAT --to 192.168.80.20:22

再次配置规则

实验步骤

1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1     

sysctl -p             

DNAT转换1:发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11
                             入站 外网网卡  外网IP                                               内网服务器IP
 
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20
    
    
DNAT转换2:发布时修改目标端口            
#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools         #若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33
 

防火墙规则的备份和还原

导出(备份)所有表的规则
iptables-save > /opt/ipt.txt

导入(还原)规则
iptables-restore < /opt/ipt.txt


将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables                        #停止iptables服务会清空掉所有表的规则
systemctl start iptables                    #启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则

常用的抓包命令

详细命令介绍

tcpdump tcp -i ens33 -t -s 0 -c 100 and port ! 22 and net 192.168.1.0/24 -w ./target.cap

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型
(2)-i ens33 : 只抓经过接口ens33的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)port ! 22 : 不抓取端口是22的数据包
(7)net 192.168.1.0/24 : 数据包的网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
 

监听特定网卡

特定来源,目标地址的通信

特定端口

监听TCP/UDP

来源主机

当天不总结完不回家
关注
专栏目录
iptables防火墙之SNAT与DNAT
weixin_67582338的博客
05-12 3447
一、SNAT策略及应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.1.2 SNAT 原理 (1)源地址转换 (2)修数据包的源IP地址,通常被叫做源映射。 1.1.3 SNAT 转换前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 Linux系统本身是没有转发功能,只有路由发送数据。 1.2 开启SNAT的命
iptables防火墙 (SNAT、DNAT
Y_S_J_112的博客
09-25 1731
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)局域网共享上网未作SNAT转换时的情况进行SNAT转换后的情况。
iptables-dnat
09-20
iptables nat snat dnat 负载均衡
iptables配置SNAT实现共享上网
m0_67900727的博客
03-29 2131
设置防火墙规则,允许位于局域网中的主机可以访问外网: 搭建内外网案例环境 配置SNAT策略实现共享上网访问 一:首先搭建内外网案例环境 实验拓扑 image 这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。 现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.10在访问网页。 我们需要实现的效果是,
防火墙iptables
2301_76838634的博客
05-22 462
【代码】防火墙iptables
iptables中SNAT规则设置
热门推荐
aoli_shuai的博客
01-11 1万+
iptables NAT规则设置 SNAT场景模拟 客户端和web服务端是无法单独通行的,nat server 有两块网卡,通过在nat server中设置iptables 规则,使得能进行http请求 在nat server 中,先更配置文件,/etc/sysctl.conf 中为 net.ipv4.ip_forward = 1 修完成后,命令行sysctl -p 让其全部执行生效 ...
Linux系统之iptables应用SNAT与DNAT
最新发布
rmh0713的博客
03-14 1019
④IP地址的要求:pc1为192.168.170.111网关为192.168.170.113,pc2的网关的ens33网卡地址为192.168.170.0/24网关为192.168.170.0 ens36为12.0.0.1/24不需要网关,pc3为12.0.0.100/24网关为12.0.0.1。为了保护公司业务服务器安全,业务服务器在私网中,从公网访问的用户只能通过nat为服务器的私网网关地址才可访问。当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP。
iptables防火墙及SNAT和DNAT
微光
07-15 438
每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
防火墙 iptables)-------------SNAT与DNAT搭建
zzzxxx520369的博客
02-17 1473
内网主机通过网关服务器的SNAT转换实现访问外网不经过nat的地址为PC1(centos1)自己的地址,使用虚拟机环境才会出现这种情况,市场环境是不通的。经过nat之后的地址是公司的公网ip地址,由网关服务器iptables规则SNAT实现。
iptables防火墙SNAT和DNAT
2301_78106979的博客
08-21 101
一、
iptables之snat
fengcai_ke的博客
07-19 1460
iptables snat
iptables 防火墙)SNAT/DNAT
A1100886的博客
05-22 865
SNAT:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
iptables防火墙(DNAT和SNAT表)
种一颗树最好的时间是十年前,其次是现在!
07-17 1764
内网主机首先经过自己的路由将网关访问外网,然后到达web服务的内部网络中,经过web服务器的内部防火墙服务器,被SNAT将源ip转化成公网ip,在防火墙内部需要进行转换,并且开启转发功能,然后使用公网ip访问web服务器。目的地址转换,根据指定条件修数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。根据上图原理,需要配置三台主机,一台内网主机,一台web服务器,一台web防火墙服务器。源地址转换,根据指定条件修数据包的源ip地址,通常被叫做源映射。设置网卡为vmnet1,配置ip地址。.
iptables 防火墙中的SNAT和DNAT
WuDan_1112的博客
05-11 1700
前言 通过上一章的学习,我们认识了防火墙的表、链结构,并学会了简单的编写防火墙的规则。Linux 防火墙在很多的时候承担着连接企业内、外网的重任,除了提供数据包过滤以外,还提供一些基本的网关应用。下面我们将了解防火墙中的SNAT 和DNAT策略。 一、SNAT策略 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT原理 源地址转换(Source Network Address Translation),根据指
iptables的snat与dnat
weixin_33905756的博客
11-09 78
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables中SNAT, DNAT, MASQUERADE
韦编二绝
07-25 3795
iptables中SNAT, DNAT, MASQUERADE
iptables之SNAT与DNAT
稻香的博客
06-05 1302
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例. DNAT原理与应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修目标端口5. DNAT案例5.1 修win10网络配置5.2 修主机2的网卡并重启5.3 修主机2的
ensp防火墙snat和dnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNAT和DNAT配置示例: SNAT配置: 1. 将内部IP地址192.168...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值