iptables学习笔记7-问题思考

最新推荐文章于 2024-04-26 13:35:49 发布
最新推荐文章于 2024-04-26 13:35:49 发布
阅读量303 收藏 1
点赞数 1
分类专栏: Iptables 文章标签: iptables 网络 网络协议 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Free_time_/article/details/105730905
版权

背景

我自己在学习 iptables 的时候,有 2 个问题困扰着我
1、snat 为什么要在 postrouting 链上进行转换?只要有 nat 表的链都可以啊,为什么呢?
2、dnat 为什么要在 prerouting 链上进行转换?只要有 nat 表的链都可以啊,为什么呢?

本篇主要用于思考这 2 个问题。

SNAT和DNAT说明

snat 源地址转换,在 postrouting 链上操作
dnat 目的地址转换,在 prerouting 链上操作

为什么要在 postroutingprerouting 链上操作??
我们以该系列第一篇文章终极流量流向图 为背景来展开说明
在这里插入图片描述
1、我们的目的是 snatdnat ,所以流量走最下面那条链路效率是最高的(prerouting --> forward --> postrouting),没必要还去 input 或者 output 链绕一圈。
2、要进行地址转换,必须需要 nat 表。

结合上面2个条件,我们可以把链确认在 preroutingpostrouting 之间。接着再往下看。

为什么 snat 要在 postrouting 链上??
为什么 dnat 要在 prerouting 链上??

我们先来回顾一下 routing 作用:判断数据包的目的地址是否是本机地址?如果是,则进入 input 链,再到应用程序;如果不是,则进入 forward 链,再到 postrouting

snat 的目的是源地址转换,将数据包的 源地址 转换为 本机出口地址。如果在 prerouting 进行 snat,那针对源地址的限速、限流、禁止访问等等规则就不生效了,因为此时数据包的源地址正是本机地址。所以源地址转换最好在出口进行操纵,也就是 postrouting 链。

dnat 的目的是目的地址转换,将数据包的 目的地址 转换为 其它服务器地址
dnat 场景下有个背景是需要我们了解的,客户端其实是不知道 iptables 服务器后面还有其它服务,客户端以为它要请求的服务地址就是 iptales 服务器地址,所以在客户端发来的数据包中,目的地址为 iptables 服务器地址。(其实和反向代理差不多,客户端不知道他请求的其实是一个网关服务)
如果此时不在 prerouting 链中进行 目的地址转换 ,那这个数据包经过 route 判断时就会顺势进入 input 链,再到用户层,而用户层根本就没有程序来处理这个数据包。所以 dnat 是在 prerouting 链上进行操作。

小结

snat: 考虑规则生效,所以在 postrouting
dnat:考虑 route 判断,所以在 prerouting

本篇文章纯属于个人思考,如果有其它想法,欢迎指出或者留言,谢谢!

xianyuLuo.
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SNAT和DNAT策略及应用
weixin_50344760的博客
11-24 209
SNAT和DNAT策略及应用一、SNAT策略概述二、DNAT策略概述三、项目实操 一、SNAT策略概述 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后 将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回
iptablesiptables-service的rpm包
05-17
iptables-services-1.4.21-35.el7.x86_64 iptables-1.4.21-35.el7.x86_64 iptables-services-1.4.21-28.el7.x86_64.rpm iptables-1.4.21-16.el7.x86_64.rpm
iptables的背后
ytfy339784578的专栏
03-13 1298
每次修改iptables为子设备做转发上网都要瞎搜索很久,iptables太踏马的复杂了,这次搜索完我一定要写点东西记住哪条规则让子设备上了网。 背景: 一台独设备A,只连接B设备; 一台能上网设备B,有网卡与A连接; B设备B1网卡与A设备连接; B设备B2网卡上外网; 完毕。 目标: A设备上外网; 完毕。 实施: 1. iptables的PREROUTING确保通常(一...
Neutron印象8: OpenStack中的防火墙
jincm的专栏
08-20 1943
OpenStack中的防火墙 ( by quqi99 ) 作者:张华  发表于:2012-4-10 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 ( http://blog.csdn.net/quqi99 ) iptables提供了全面的协议状态跟踪、数据包的应用层检查、速率限制、过滤策略。 iptables策略是由一组有序的规则建立的,它告诉内
Linux 内核网络协议栈 ------ Linux 内核路由机制(二)之 ip层开始 -> 直到包被处理
shanshanpt的专栏
03-10 1万+
Linux 内核路由机制(二) ---- ip层开始 -> 直到包被处理
笔记】虚拟机添加双网卡实现SNAT和DNAT
weixin_48819467的博客
04-21 1167
图片和实验讲解SNAT和DNAT的具体过程
PREROUTING 和 POSTROUTING, SNAT 和 DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
iptables 防火墙(二)——SNAT、DNAT
Katie_ff的博客
06-12 1416
SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址就是把内网地址转成指定的IP地址,这个iP地址可以访问公网。
CentOS 7 iptables 防火墙 SNAT DNAT 用法
一直被模仿,从未被超越
04-28 3870
iptables 命令基本参数和用法 iptables –[A|I 链] [-i|o 网络接口] [-p 协议] [-s 来源ip/网域] [-d 目标ip/网域] –j[ACCEPT|DROP] 参数 作用 -P 设置默认策略:iptables -P INPUT (DROP|ACCEPT) -F ...............
iptables之SNAT与DNAT
weixin_56270746的博客
05-16 1375
一、SNAT策略及应用 1、SNAT策略概述 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发送数据 Linux网关开启IP路由转发 1.2、开启SNAT命令 Linux系统本身是没有转发功能 只有路由发送数据 临时开启 echo 1 >/proc/s
iptables学习笔记:端口转发之“外网访问内网”
李迟的专栏
09-25 1万+
考虑一种网络拓扑应用情景,一个内部局域网中有多台服务器提供不同的服务,如web服务、FTP服务、ssh、telnet等,通过网关或防火墙连接外部网络,如果外部网络上的主机需要访问这些服务器,则需要在网关上实现转发。
iptables-services-1.4.21-17.el7.x86_64.rpm 下载
06-18
centos7 iptables-services-1.4.21-17.el7.x86_64.rpm 安装包 下载
centos6-iptables-1.4.7-16.el6.x86-64
08-09
centos6-iptables-1.4.7-16.el6.x86-64
iptables 学习笔记
11-22
iptables 学习笔记iptables 思维导图,有需要的拿去
iptables学习笔记.pdf
10-08
iptables学习笔记.pdf
实战对抗DDoS攻击
最新发布
NSME1的博客
04-26 443
对DDoS的深入理解才能更好的做防护
webman 事务回滚失效问题记录
juan9872的博客
04-21 768
webman是一款基于workerman开发的高性能HTTP服务框架。webman用于替代传统的php-fpm架构,提供超高性能可扩展的HTTP服务。你可以用webman开发网站,也可以开发HTTP接口或者微服务。除此之外,webman还支持自定义进程,可以做workerman能做的任何事情,例如websocket服务、物联网、游戏、TCP服务、UDP服务、unix socket服务等等。
Verilog 不可综合部分
Arthur...J的博客
04-22 571
Verilog中存在部分用于仿真验证的子集,只在仿真时使用,因为没有对应的硬件元件,因此不可综合。
网络安全(黑客技术)—2024自学
TDJYGC的博客
04-17 1459
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z
11-30
以下是对iptables常用命令的介绍: 1. iptables -F:清空所有防火墙规则。 2. iptables -X:删除所有用户自定义的链。 3. iptables -Z:将所有链的所有计数器归零。 4. iptables -t nat -F:清空nat表中的所有规则。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值