Linux系统iptables应用SNAT和DNAT

最新推荐文章于 2024-07-10 21:47:00 发布
最新推荐文章于 2024-07-10 21:47:00 发布
阅读量902 收藏 12
点赞数 16
文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EsDeath_99/article/details/139135388
版权

一、SNAT

1.SNAT应用环境

局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)

2.SNAT原理

源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映谢

数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP

当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP

3.SNAT转换地址前提条件

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址

2.Linux网关开启IP路由转发(linxu系统本身是没有转发功能 只有路由发送数据)

二、开启SNAT

1.临时打开

echo  7-1  >/proc/sys/net/ipv4/ip_forward

sysctl  -w  net.ipv4.ip  forward=1

2.永久打开

vim  /etc/sysctl.conf

net.ipv4.ip_forward=1

##将此写入配置文件

sysctl  -P    ##读取修改后的配置

三、SNAT和DNAT

1.SNAT

SNAT用于在网络中修改数据包的源IP地址,SNAT是一种单向的地址转换技术,只会修改数据包的源IP地址,不会修改目的IP地址

SNAT转换前提条件:

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址

2.Linux网关开启IP路由转发

2.DNAT

DNAT应用环境:在Internet中发布位于局域网内的服务器

DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射

DNAT转换前提条件:

1.局域网的服务器能够访问Internet

2.网关的外网地址有正确的DNS解析记录

3.Linux网关开启IP路由转发

四、SNAT实践内网通过网关SNAT改变内网IP变成外网IP

1.实验环境

关闭防火墙和selinux防护:

内网服务器:

IP地址:192.168.7.10

网关:192.168.7.100

网关服务器:

ens33:

IP地址:192.168.7.100

网关:192.168.7.100

(网关服务器添加网卡选择仅主机模式)ens36:

IP地址:12.0.0.10

网关:12.0.0.10

外网服务器:

IP地址:12.0.0.1

网关:12.0.0.10

 内网服务器网关配置:配置完成后重启网卡

外网服务器网关配置:配置完成后重启网卡

网关服务器网关配置:配置完成后重启网卡

2.开启网关服务器的路由转发功能

vim /etc/sysctl.conf

net.ipv4.ip_forward = 1  #写入配置文件

sysctl  -p  ##读取修改后的配置文件

 

3.在网关服务器添加iptables防火墙规则

iptables -t nat -A POSTROUTING -o ens36 -s 192.168.2.0/24 -j SNAT --to 12.0.0.10 

 4.在内网服务器和外网服务器开启httpd服务

systemctl start httpd

如果未安装用yum安装:yum  -y install httpd

5.在内网服务器和外网服务器添加一些网页信息

内网服务器:

 

外网服务器: 

6.使用内网服务器curl外网服务器检测连通性,查看是否能访问到外网

内网服务器访问外网服务器成功

外网服务器访问内网服务器成功

五、使用DNAT,使外网能访问内网

1.同上配置,在网关服务器添加规则

iptables -t nat -A PREROUTING -i ens36 -s 12.0.0.0/24 -p tcp --dport  80 -j  DNAT --to  192.168.7.100

2. 使用外网服务器curl内网服务器检测连通性,查看是否能访问到内网

外网服务器访问内网服务器成功

内网服务器访问外网服务器成功

EsDeath_99
关注
  • 16
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》
06-01
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》,如何配置snat,dnat,等等
使用SNAT、DNAT策略实现网关应用
09-08
打开密码 www.clvn.com.cn
linux/shell】linux如何去除字符串中空格
qq_35902025的博客
07-06 408
linux如何去除字符串中空格 tr命令可以用来替换或删除字符 sed是一个流编辑器,可以用来处理文本
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 629
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
Linux_实现简易日志系统
安权_code的博客
07-07 971
Linux下实现一个日志系统,该日志系统主要用于打印和记录程序的格式化信息,还可以对信息做分析处理,比如把信息分为五种类型:正常运行信息、测试信息,警告信息,错误信息、致命信息,当然还可以显示信息产生的具体时间,并且能够对这些信息进行存档归类。
Linux x86_64平台指令替换函数 text_poke_smp/bp
小立仔
07-05 895
Linux x86_64平台指令替换函数 text_poke_smp/bp简介
linux积累-core文件是干啥的
hebtu666
07-09 547
核心转储(core dump)文件是一个程序崩溃时所产生的文件,它记录了程序崩溃时的内存状态,包括程序计数器和寄存器内容等信息。此外,如果程序是在特定的库或者环境中运行时崩溃的,你可能还需要安装那些库的调试符号,并在调试器中设置相应的环境变量。: 当你有了核心转储文件后,你可以使用像GDB(GNU调试器)这样的调试器来分析它。首先,你需要确保你有相应的程序的带调试符号的可执行文件。: 根据调试器提供的信息,你可以检查源代码中可能导致问题的部分,例如无效的指针引用、数组越界或其他违反程序逻辑的操作。
LVGL ArchLinux VSCode环境运行
Sandman06的博客
07-10 141
很多包在Arch中名字都不一样,我配合GPT,找到了相同功能的包,配合官方步骤,大致过程如下。vscode用AUR管理器安装”visual-studio-code-bin“LVGL官方的Demo是跑在Ubuntu系的系统上的。# 用如下指令代替Ubuntu系apt指令。git保证项目完整,各模块更新就能跑起来了。# VSCode安装。
Linux 例题及详解
weixin_72040293的博客
07-10 597
Linux例题
Android关闭SLinux
lmpt90的专栏
07-07 337
adb shell getenforce 查看当前 Selinux 状态是 permissive(关闭)还是 enforce(打开)的。adb shell setenforce 0 开Selinux:设置成模式permissive。adb shell setenforce 1 关Selinux:设置成模式enforce。调试Android的时候有时需要关闭Selinux验证问题。总结下关闭SELinux的方法。
RedHat运维-Linux文本操作基础-SED基础
a15735748145a的博客
07-06 393
34. 假设当前工作目录为/home/opensuse/Desktop/,有两份文件a.txt与aa.txt,现如果想将a.txt中所有字符串“Shenzhen”都替换为“Nanshan”,并且将替换完成的行打印出来,再覆盖写到aa.txt文件中,则命令为________________________________________________;
Linux 线程】线程的基本概念、LWP的理解
最新发布
Hou_lang_LJ的博客
07-10 241
🐧① Linux 线程的基本概念;
RedHat Linux8 修改root管理员账户密码命令
07-09 210
RedHat Linux8 修改root管理员账户密码命令
Linux 内核 GPIO 用户空间接口
qq_42417071的博客
07-05 700
GPIO(General Purpose Input/Output,通用输入/输出接口),是微控制器或微处理器上的引脚,可以被编程为输入或输出,用于与外部设备进行通信。在 Linux 系统中,通过内核提供的用户空间接口,开发者能够轻松地读取、设置 GPIO 的状态,实现对外部设备的控制和监测。本文将基于 Orangepi ZERO 2开发板,探讨 Linux 内核(kernel 4.8 版本起)基于字符设备的新接口,用于访问和管理用户空间中的 GPIO 线路。
linux watchdog 子系统
qq_28499879的博客
07-06 359
介绍 linux 下的 watchdog 子系统,包括了关键数据结构介绍,关键流程包括初始化、设备注册、设备文件函数、喂狗、pretimeout等流程的介绍。介绍了 softdog 的初始化、喂狗和超时机制。
linux/shell】awk获取除某列之外的其他数据
qq_35902025的博客
07-06 358
awk获取除某列之外的其他数据 在使用 awk 时,如果你想要获取除了某一列之外的所有其他数据,可以通过设置字段分隔符(Field Separator,FS)和输出字段分隔符(Output Field Separator,OFS),然后打印除了指定列之外的所有字段来实现。
iptables SNAT DNAT
07-28
iptables是一个在Linux系统上用于配置防火墙规则的工具。SNAT和DNATiptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。 DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址。它通常用于将公共网络上的目标IP地址转换为内部网络的私有IP地址,以便数据包可以正确地被内部网络中的主机接收。 这些选项在iptables规则中使用,可以按照特定的条件对数据包进行转换和定向,以实现网络流量的控制和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值