iptables学习笔记7-问题思考

最新推荐文章于 2024-02-17 19:26:10 发布
最新推荐文章于 2024-02-17 19:26:10 发布
阅读量450 收藏 2
点赞数 1
分类专栏: Iptables 文章标签: iptables 网络 网络协议 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Free_time_/article/details/105730905
版权

背景

我自己在学习 iptables 的时候,有 2 个问题困扰着我
1、snat 为什么要在 postrouting 链上进行转换?只要有 nat 表的链都可以啊,为什么呢?
2、dnat 为什么要在 prerouting 链上进行转换?只要有 nat 表的链都可以啊,为什么呢?

本篇主要用于思考这 2 个问题。

SNAT和DNAT说明

snat 源地址转换,在 postrouting 链上操作
dnat 目的地址转换,在 prerouting 链上操作

为什么要在 postroutingprerouting 链上操作??
我们以该系列第一篇文章终极流量流向图 为背景来展开说明
在这里插入图片描述
1、我们的目的是 snatdnat ,所以流量走最下面那条链路效率是最高的(prerouting --> forward --> postrouting),没必要还去 input 或者 output 链绕一圈。
2、要进行地址转换,必须需要 nat 表。

结合上面2个条件,我们可以把链确认在 preroutingpostrouting 之间。接着再往下看。

为什么 snat 要在 postrouting 链上??
为什么 dnat 要在 prerouting 链上??

我们先来回顾一下 routing 作用:判断数据包的目的地址是否是本机地址?如果是,则进入 input 链,再到应用程序;如果不是,则进入 forward 链,再到 postrouting

snat 的目的是源地址转换,将数据包的 源地址 转换为 本机出口地址。如果在 prerouting 进行 snat,那针对源地址的限速、限流、禁止访问等等规则就不生效了,因为此时数据包的源地址正是本机地址。所以源地址转换最好在出口进行操纵,也就是 postrouting 链。

dnat 的目的是目的地址转换,将数据包的 目的地址 转换为 其它服务器地址
dnat 场景下有个背景是需要我们了解的,客户端其实是不知道 iptables 服务器后面还有其它服务,客户端以为它要请求的服务地址就是 iptales 服务器地址,所以在客户端发来的数据包中,目的地址为 iptables 服务器地址。(其实和反向代理差不多,客户端不知道他请求的其实是一个网关服务)
如果此时不在 prerouting 链中进行 目的地址转换 ,那这个数据包经过 route 判断时就会顺势进入 input 链,再到用户层,而用户层根本就没有程序来处理这个数据包。所以 dnat 是在 prerouting 链上进行操作。

小结

snat: 考虑规则生效,所以在 postrouting
dnat:考虑 route 判断,所以在 prerouting

本篇文章纯属于个人思考,如果有其它想法,欢迎指出或者留言,谢谢!

xianyuLuo.
关注
专栏目录
shell学习笔记---抄录
06-06 1223
整理的shell学习笔记
python学习笔记6---数据解析
qq_32482091的博客
03-08 6798
xpath简介 xpath(XML Path Language)是一门在XML和HTML中查找信息的语言。 Xpath开发工具 1.Chrome插件Xpath Helper 点击浏览器右边三点—更多工具—扩展程序—chrome网上商店搜索该插件(需要翻墙,可能一次不能成功添加,多尝试即可) 2.Firefox插件Try Xpath 点击浏览器右边三横—附加组件—搜索插件—添加 Xpath语法 谓...
iptables原理
eriol的思考空间
10-03 116
iptables基础     规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据头符合这样的条件,就这样处理这个数据 ”。规则存储在内核空间的信息过滤表中,这些规则分别指定了源地址、目的地址、传输协议(如TCP、UDP、ICMP)和服务类型(如HTTP、FTP和SMTP)等。当数据与规则匹配时,iptables就根据规则所定义的方法来处理这些数据,如放行...
iptables的背后
ytfy339784578的专栏
03-13 1393
每次修改iptables为子设备做转发上网都要瞎搜索很久,iptables太踏马的复杂了,这次搜索完我一定要写点东西记住哪条规则让子设备上了网。 背景: 一台独设备A,只连接B设备; 一台能上网设备B,有网卡与A连接; B设备B1网卡与A设备连接; B设备B2网卡上外网; 完毕。 目标: A设备上外网; 完毕。 实施: 1. iptables的PREROUTING确保通常(一...
iptables
zion--6135的博客
07-20 783
iptables-tnat-AOUTPUT-ptcp-d192.168.2.101--dport55-jDNAT--to-destination192.168.2.10053//实现把192.168.2.101的55端口的报文,转发到192.168.2.10053。路由器----交换机---LAN内的电脑1(192.168.1.1),电脑2(192.168.1.2)--->路由器收到---->给电脑1回复ip地址--->电脑1拿到一个ip地址。ip地址不是路由器。.........
PREROUTINGPOSTROUTING, SNAT 和 DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据要通过路由器时,路由器将数据中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
笔记】虚拟机添加双网卡实现SNAT和DNAT
weixin_48819467的博客
04-21 1300
图片和实验讲解SNAT和DNAT的具体过程
Linux学习笔记RHEL 7(七)--RHEL 7.0安装配置LAMP服务器(Apache+PHP+MariaDB)
笑桐笔记的博客
04-02 2358
准备篇:RHEL 7.0系统安装配置图解教程:http://www.osyunwei.com/archives/7702.html参考文章来源:http://www.osyunwei.com/archives/7782.html一、使用系统镜像文件配置本地yum源1、使用xftp等工具上传系统镜像文件rhel-server-7.0-x86_64-dvd.iso到/usr/local/src目录2、...
读书笔记-每天5分钟玩转k8s
u013766836的博客
01-05 984
一.K8s基本概念 一.Pod Pod 是容器的集合,通常会将紧密相关的一组容器放到一个 Pod 中,同一个 Pod 中的所有容器共享 IP 地址和 Port 空间,也就是说它们在一个 network namespace 中。 Pod 是 Kubernetes 调度的最小单位,同一 Pod 中的容器始终被一起调度。 运行kubectl get pods查看当前的 Pod。 部署应用 访问应用 Scale 应用 滚动更新 Pod 是 Kubernetes 的最小工作单元。每个 Pod ..
老男孩的linux运维笔记-初级部分内容(一)
老男孩linux运维实战培训博客
12-14 8231
############################################################ # # USER          YYYY-MM-DD – ACTION # Oldboy        2010-06-09 – Created # QQ:31333741   老男孩       mail:31333741@qq.com #老男孩培训交流群  2
iptables 防火墙(二)——SNAT、DNAT
Katie_ff的博客
06-12 1788
SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址就是把内网地址转成指定的IP地址,这个iP地址可以访问公网。
iptables--对DNAT和SNAT的个人理解
Thomas_CYQ的博客
12-23 1112
对DNAT和SNAT的个人理解 理解iptablies的DNAT和SNAT,对于理解LVS的负载均衡有很好的承接作用,但是之前在理解DNAT和SNAT一直卡在为什么要在postrouting还是prerouting链上设置,所以写此博客以此加深记忆。 iptables的报文流向 首先要理解的是iptables的报文流向,如图所示是,上层协议及用户层空间,以下均为系统的内核空间,因此iptables...
SNAT与DNAT
python基础
11-19 1342
SNAT与DNAT SNAT是转换源地址,是在postrouting链上,相当于是你在一个局域网内,你的ip是192.168.200.10主机A,你需要访问公网主机B,ip是172.168.89.105,如果不改变你的源地址,路由将主机A的数据发送给B,接收到A的请求返回数据给A,但是B无法看到私网的IP,所以B只能找上一级路由,为了实现数据的正确发送及返回,网关必须将A的址转换为一个合法的公...
SNAT与DNAT详解
meishujian的博客
05-27 3550
linux操作系统中,Netfilter组件是集成在linux内核中扩展各种网络服务的结构化底层框架,在内核级提供防火墙功能。内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTINGPOSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。 报文流向: 流入本机:PREROUTING --> INPUT-->用户空间进程 ...
Linux系统安全:NAT(SNAT、DNAT)
Personal_Liberty的博客
08-23 1578
NAT: network address translation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链请求报文:修改源/目标IP,响应报文:修改源/目标IP,根据跟踪机制自动实现NAT的实现分为下面几种类型:SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改源IP。
防火墙 iptables(二)-------------SNAT与DNAT搭建
最新发布
zzzxxx520369的博客
02-17 1635
内网主机通过网关服务器的SNAT转换实现访问外网不经过nat的地址为PC1(centos1)自己的地址,使用虚拟机环境才会出现这种情况,市场环境是不通的。经过nat之后的地址是公司的公网ip地址,由网关服务器iptables规则SNAT实现。
iptables nat 原理(SNAT和DNAT,NAT之二)
bingyu的博客
05-09 3157
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则 把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。 因为路由时只检查数据的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT; 系统先PREROUTING DNAT翻译——>再过滤(FORWARD)——&...
PREROUTINGPOSTROUTING, SNAT 和 DNAT 剖析
Criss_Leung的专栏
09-15 5319
位置: PREROUTINGPOSTROUTING是位于NAT表中的两条数据中转链。 NAT: NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据要通过路由器时,路由器将数据中的源内网 IP 地址改为路由器上的
Linux防火墙——iptables(SNAT与DNAT详细)
oyyy3的博客
11-02 7075
一.SNAT 1.原理 原理:源地址转换,修改数据中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 2.转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 linxu想系统本身是有转发功能 只有路由发送数据 tips:一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...
iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z
11-30
以下是对iptables常用命令的介绍: 1. iptables -F:清空所有防火墙规则。 2. iptables -X:删除所有用户自定义的链。 3. iptables -Z:将所有链的所有计数器归零。 4. iptables -t nat -F:清空nat表中的所有规则。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值