iptables 基础使用SNAT 和 DNAT

最新推荐文章于 2024-08-14 17:15:17 发布
最新推荐文章于 2024-08-14 17:15:17 发布
阅读量489 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IO_print/article/details/115323357
版权

实验环境ubuntu 充当Service端企业边界的服务器 和一台windows 充当client企业内网用户.

在这里插入图片描述
说明:
1.服务器端能够正常访问互联网.
2.企业内用户无法直接访问互联网

需求1:使client 能够正常访问外网

配置数据转发

	临时转发生效:
	echo 1>/proc/sys/net/ipv4/ip_forward

永久转发生效:
	vi  /etc/sysctl.conf 
	net.ipv4.ip_forward = 1
	配置即时生效 sysctl -p

配置:
iptables -F 清空iptables 表项

允许ssh 登录service 
iptables -I INPUT -p tcp --dport 22 -i ens33 -j ACCEPT

或者配置INPUT 默认为允许所有
iptables -P INPUT ACCEPT

允许服务器ping 回应icmprequest 发出
iptables -I OUTPUT -p icmp -j ACCEPT
允许服务器ping 回应icmp replay 进入
iptables -I INPUT -p icmp -j ACCEPT

配置SNAT
iptables -t nat -I POSTROUTING -s 172.16.0.0/24 -o ens33 -j SNAT --to 10.5.20.248

client ping 8.8.8.8 不通.
由于目的地址为8.8.8.8,到达server端时,进入PREROUTING->FORWARD->POSTROUTING. 因此需要在FORWARD 链中允许数据进出
方式1:

iptables -P FORWARD ACCEPT

方式2:

iptables -I FORWARD  -i ens38 -s  172.16.0.0/24 -j ACCEPT  //icmp request
iptables -I FORWARD -i ens33 -d 172.16.0.0/24 -j ACCEPT   //icmp replay

或者下面方法均可:

iptables -I FORWARD -i ens38 -d 8.8.8.8/32 -s 0/0 -j ACCEPT
 iptables -I FORWARD -i ens33 -s 8.8.8.8/32  -d 0/0 -j ACCEPT

 iptables -I FORWARD -i ens38 -s 172.16.0.0/24 -d 8.8.8.8/32 -j ACCEPT
 iptables -I FORWARD -i ens33 -s 8.8.8.8/32 -d 172.16.0.0/24  -j ACCEPT

需求2: 将client 去往8.8.8.8 的流量重定向到114.114.114.114

iptables -t nat -I PREROUTING -d 8.8.8.8/32 -i ens38 -j DNAT --to 114.114.114.114

需求3:外网访问10.5.20.248 :80 即访问172.16.0.2:80

iptables -t nat -I PREROUTING -d 10.5.20.248/32 -i ens33 -p tcp --dport 80 -j DNAT --to 172.16.0.2:80

iptables -I FORWARD -s 172.16.0.0/24 -j ACCEPT

补充:
iptables -t nat -L --line //查看
iptables -t nat -D PREROUTING 1 删除某个1 为序列号

PREROUTING 只能配置-i 指定入接口的DNAT
POSTROUTING 只能配置 -o 指定出接口SNAT

查看FORWARD
iptables -L FOREWARD
删除FORWARD表项
iptables -D FORWARD 1

查看nat表
iptables -L -t nat -nv --line

对iptables修改进行保存 :
service iptables save

__Dong
关注
专栏目录
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2859
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
iptables防火墙之SNAT与DNAT
weixin_67582338的博客
05-12 3433
一、SNAT策略及应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.1.2 SNAT 原理 (1)源地址转换 (2)修改数据包的源IP地址,通常被叫做源映射。 1.1.3 SNAT 转换前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 Linux系统本身是没有转发功能,只有路由发送数据。 1.2 开启SNAT的命
iptables snat和dnat
weixin_34032779的博客
05-04 86
iptables中的snat和dnat是非常有用的,感觉他们二个比较特别,所以单独拿出来说一下. dnat是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可以被路由到正确的主机或网络。比如,你的Web服务器在LAN内部,而且没有可在Internet上使用的真实IP地址,那就可以使用这个dnat让防火墙把所有到它自己HTT...
Iptables防火墙SNAT和DNAT
最新发布
weixin_56770318的博客
08-14 1047
DNAT原理与应用: DNAT应用环境:在Internet中发布位于局域网内的服务器 DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。DNAT:destination NAT 支持PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改目标IP。DNATnat表的target,适用于端口映射,即可重定向到本机,也可以支持重定向至不同主机的不同端。
iptables实现网络防火墙(二)——SNAT与DNAT
weixin_33858336的博客
10-23 308
前言在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。 在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的四表五链,以及数据包的流向,在实际...
iptables之SNAT与DNAT
weixin_34268310的博客
04-14 178
Centos6.x NAT路由转发一、网络拓扑结构二、实验环境2.1、NAT服务器[root@Andy ~]# cat /etc/redhat-release CentOS release 6.5(Final)[root@Andy ~]# uname -r 2.6.32-431.el6.x86_64[root@Andy ~]# ifconfig eth0 Link...
iptables防火墙及SNAT和DNAT
微光
07-15 430
每个规则表相当于内核空间的一个容器,根据规则集的不同用途划分为默认的四个表,在每个表容器内又包括不同的规则链,根据处理数据包的不同时机划分为五种链。
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
Iptables 防火墙中的SNAT和DNAT
wwwu1998的博客
05-18 202
iptables 防火墙中的SNAT和DNAT
iptables DNAT 与 SNAT 详解
luguifang2011的专栏
10-20 2864
DNAT target 这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可以被路由到正确的主机或网络。DNAT target是非常有用的。比如,你的web服务器在LAN内部,而且没有可以在Internet上使用的真实IP地址,那就可以使用这个target让防火墙把所有到它自己HTTP端口的包转发给L
iptables中SNAT规则设置
热门推荐
aoli_shuai的博客
01-11 1万+
iptables NAT规则设置 SNAT场景模拟 客户端和web服务端是无法单独通行的,nat server 有两块网卡,通过在nat server中设置iptables 规则,使得能进行http请求 在nat server 中,先更改配置文件,/etc/sysctl.conf 中改为 net.ipv4.ip_forward = 1 修改完成后,命令行sysctl -p 让其全部执行生效 ...
iptables--SNAT
08-29 546
#!/bin/bash # nat # # # 使用VMware实验,网络规划如下 # 三台虚拟机,一台做路由转发(route),另外两台做测试机(node1, node2) # # ip规划: # route: # 网卡1: 桥接 192.168.49.65 # 网卡2: 仅主机 172.16.0.128 # node1: 桥接 192.168.49.85 网关:
iptables防火墙SNAT和DNAT
Hard work results, technology is willing to dream
02-10 1499
iptables防火墙SNAT和DNAT
iptables之snat
fengcai_ke的博客
07-19 1432
iptables snat
iptables中DNAT与SNAT的理解
06-02 626
iptables中DNAT与SNAT的理解January 12th, 2009 at 12:29 pm Linux 目的映射, DNAT, 转发, ip forwarding, iptables, Linux, NAT, SNAT, 地址转换, 源映射 DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNA
iptables防火墙(二)——SNAT和DNAT
ver_mouth__的博客
05-11 1187
一:SNAT策略及应用 1.1SNAT应用环境和SNAT策略的原理 1.1.1SNAT策略的典型应用环境 局域网主机共享单个公网ip地址接入internet 1.1.2SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 1.1.3SNAT转换前提条件 ①局域网各主机已正确设置IP地址、子网掩码、默认网关地址 ②Linux网关开启IP路由转发 Linux想系统本身是没有转发功能,只能路由发送数据 临时打开: ech
iptables的snat与dnat
weixin_33905756的博客
11-09 74
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables 具体上如何使用 DNAT 和 SNAT?
03-31
DNAT (Destination NAT) 和 SNAT (Source NAT) 是 iptables 中的两个重要功能,用于修改数据包的目的地址和源地址,以实现网络地址转换和负载均衡等功能。具体上,DNAT 可以将数据包的目的地址转换为指定的地址,而 SNAT 可以将数据包的源地址转换为指定的地址。 下面是具体的使用方法: 1. DNAT 使用 DNAT 可以将数据包的目的地址转换为指定的地址,具体方法如下: ``` iptables -t nat -A PREROUTING -d [原始目的地址] -j DNAT --to-destination [目标地址] ``` 其中,-t nat 表示指定 iptablesnat 表,-A PREROUTING 表示在数据包进入路由前应用规则,-d [原始目的地址] 表示匹配数据包的原始目的地址,-j DNAT 表示将匹配的数据包进行 DNAT 转换,--to-destination [目标地址] 表示指定目标地址。 例如,将来自 192.168.1.2 的数据包的目的地址转换为 10.0.0.2: ``` iptables -t nat -A PREROUTING -d 192.168.1.2 -j DNAT --to-destination 10.0.0.2 ``` 2. SNAT 使用 SNAT 可以将数据包的源地址转换为指定的地址,具体方法如下: ``` iptables -t nat -A POSTROUTING -s [原始源地址] -j SNAT --to-source [目标地址] ``` 其中,-t nat 表示指定 iptablesnat 表,-A POSTROUTING 表示在数据包出路由后应用规则,-s [原始源地址] 表示匹配数据包的原始源地址,-j SNAT 表示将匹配的数据包进行 SNAT 转换,--to-source [目标地址] 表示指定目标地址。 例如,将来自 192.168.1.2 的数据包的源地址转换为 10.0.0.2: ``` iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to-source 10.0.0.2 ``` 需要注意的是,DNAT 和 SNAT 都会修改数据包的地址,因此需要谨慎使用,避免对网络造成影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值