iptables 防火墙(二)——SNAT、DNAT

已于 2023-06-17 22:09:22 修改
阅读量1.6k 收藏 1
点赞数
文章标签: 网络 服务器 运维
于 2023-06-12 15:46:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Katie_ff/article/details/131167345
版权

文章目录

一.SNAT策略及应用

1.SNAT策略

SNAT又称源地址转换。
源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址
就是把内网地址转成指定的IP地址,这个iP地址可以访问公网

2.SNAT实验

2.1 准备工作

(1)三台服务器:PC1客户端、PC2网关、PC3服务端。
(2)硬件要求:PC1和PC3均只需一块网卡、PC2需要2块网卡
(3)网络模式要求:PC1为NAT模式、PC2中作为PC1网关的网卡为NAT模式、作为PC3网关的网卡为仅主机模式、PC3为仅主机模式。
(4)IP地址要求:
PC1为192.168.198.11/24–网关为192.168.198.11、
PC2网关的ens33网卡地址为192.168.198.12/24–网关为192.168.198.11、ens36为12.0.0.254/24–不需要网关、
PC3为12.0.0.100/24–网关为12.0.0.254

2.2 配置

(1)关闭三台的防火墙和selinux

systemctl stop firewalld
setenforce 0

(2)配置pc3服务端
安装httpd服务修改网卡ip为12.0.0.100/24–网关为12.0.0.254,重启网卡。

yum -y install httpd
vim /etc/sysconfig/network-scripts/ifcfg-ens33
IPADDR=12.0.0.100
NETMASK=255.255.255.0
GATEWAY=12.0.0.254
如有DNS需要注释

systemctl restart network

将ens33的设备模式改为仅主机模式,查看配置好的地址

[root@test3 ~]# ifconfig 
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 12.0.0.100  netmask 255.255.255.0  broadcast 12.0.0.255

(3)配置PC1客户端
修改网卡ip为192.168.198.11/24—网关192.168.198.254,重启网卡。
安装httpd的服务,重启服务

yum -y install httpd
``

```csharp
vim /etc/sysconfig/network-scripts/ifcfg-ens33
文本添加内容:
IPADDR=192.168.198.11
NETMASK=255.255.255.0
GATEWAY=192.168.198.254
如有DNS请注释

systemctl restart network

(4)配置PC2网关服务器
给虚拟机添加一个网卡,然后配置ens33和ens36网卡的ip地址

vim /etc/sysconfig/network-scripts/ifcfg-ens33 
IPADDR=192.168.198.254
NETMASK=255.255.255.0
注释网关和DNS

cp /etc/sysconfig/network-script/ifcfg-ens33  /etc/sysconfig/network-script/ifcfg-ens36
#复制ens33配置文件给ens37网卡,新增网卡不会有配置文件
ens37配置文件修改:将UUID此行删除,修改ip和网关
IPADDR=12.0.0.254
NETMASK=255.255.255.0

开启PC2网关服务器的路由转发功能,重启网卡。
vim /etc/sysctl.conf
添加内容:
net.ipv4.ip_forward=1
[root@www network-scripts]# sysctl -p             #使之生效
net.ipv4.ip_forward = 1

iptables -t nat -A POSTROUTING -s 192.168.198.0/24 -o ens37 -j SNAT --to 10.0.0.10
# -t nat 指定使用nat表
# -A POSTROUTING 添加在数据流出链,原因为在输出时添加只需要添加一次。
# -s 指定源ip
# -o 指定输出网卡为ens37时
# -j 指定跳转到SNAT处理
# --to 指定SNAT nat为10.0.0.10这个地址

测试:test1访问test3:12.0.0.100

二.DNAT策略及应用

1.DNAT策略

目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。
通常来说,合法地址的数量比起本地内部的地址数量来要少得多。

私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问
所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问

2.配置

在SNAT配置的基础上,在test1上做装一个httpd,内网映射访问

iptables -t nat -A PREROUTING -d 12.0.0.254 -i ens37 -p tcp  --dport 80 -j DNAT --to 192.168.198.11:80

# 从ens36网卡进入的流量目的地址为12.0.0.254目的端口为80的tcp协议NAT处理为访问192.168.198.11
# -t nat 指定使用nat表
# -A PREROUINTG 添加在路由选择前数据进入链,在输入时直接判断。
# -d 指定目的ip
# -i 指定输出网卡为ens36时
# -p 指定协议为tcp协议
# --dport 指定目的端口为80
# -j 指定跳转到DNAT处理
# --to 指定DNAT nat到192.168.198.11这个地址

测试:在test3访问内网test1的地址:192.168.198.11

三.tcpdump抓包工具

是linux自带的抓包工具

1.指定抓包

tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.198.0/24 -w ./target.cap
#tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
#-i ens33 :只抓经过接口ens33的包。
#-t:不显示时间戳
#-s0 :抓取数据包时默认抓取长度为68字节。加上"-s0"后可以抓到完整的数据包。
#-c 100 :只抓取100个数据包。
#dst port 80:不抓取目标端口是80的数据包。
#src net 192.168.233.0/24 :数据包的源网络地址为192.168.233.0/24。Net:网段,host:主机。
#-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。

2.动态抓包

tcpdump -i ens33  -s0 -w  ./ens33.cap
一杯甜酒z
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Linux防火墙iptablesSNATDNAT
sukapulai的博客
04-24 2819
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
Linux系统之iptables应用SNATDNAT
ZHUZIH6的博客
02-19 1895
SNATDNAT原理及应用,详细实验过程;对比SNATDNAT区别;介绍iptables规则的备份与还原以及使用tcpdump抓包
SNATDNAT策略
最新发布
2402_83805984的博客
05-22 489
在Internet中发布位于局域网内的服务器;DNAT原理:修改数据包的目的地址。1.局域网的服务器能够访问Internet;2.网关的外网地址有正确的DNS解析记录;3.Linux网关开启IP路由转发;sysctl -p #加载DNAT转换1:发布内网的Web服务#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.10或入站 外网网卡 外网IP 内网服务器IP。
iptablessnat
fengcai_ke的博客
07-19 1365
iptables snat
iptables防火墙SNATDNAT
weixin_45305723的博客
05-01 2237
1、SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 2、SNAT工作原理 数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP 当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP 3、SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linu
iptables配置SNAT实现共享上网
m0_67900727的博客
03-29 2099
设置防火墙规则,允许位于局域网中的主机可以访问外网: 搭建内外网案例环境 配置SNAT策略实现共享上网访问 一:首先搭建内外网案例环境 实验拓扑 image 这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。 现在,在外部网络中有一台web服务器192.168.2.100,因为设置了网关,client已经可以访问此web服务器了。但,如果查看web1的日志就会发现,日志里记录的是192.168.4.10在访问网页。 我们需要实现的效果是,
iptablesSNATDNAT
zzn0109的博客
05-24 756
目录 一、SNAT概念 1.1 SNAT的原理 1.2 SNAT转换流程 1.3 SNAT的实例 1.3.1 临时打开和永久打开 1.3.2 SNAT的转发方式 1.4 实例 二、DNAT概述 2.1 DNAT的原理 2.2 DNAT转换流程 2.3 DNAT的实例 2.3.1 Linux网关开启路由转发 2.3.2 DNAT转换的方式 总结 一、SNAT概念 1.1 SNAT的原理 SNAT适用于局域网主机共享单个公网IP地址接入Internet 源地址转换(.
iptablesSNATDNAT
01-08
iptablesSNATDNAT实验
IPTABLESSNATDNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
iptablesSNATDNAT地址转换配置.pdf
07-11
iptablesSNATDNAT地址转换配置.pdf 学习资料 复习资料 教学资源
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》
06-01
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》,如何配置snatdnat,等等
Linux防火墙配置SNAT教程(1)
01-10
1、实验目标   以实验“防火墙配置-访问外网WEB”为基础,在WEB服务器上安装Wireshark,设置Wireshark的过滤条件为捕获HTTP报文,在Wireshark中开启捕获,在内网测试机上访问WEB服务器,查看捕获结果,再在网关防火墙上设置SNAT,查看捕获结果   (防火墙配置-访问外网WEB:linux防火墙配置教程之访问外网web实验(3) ) 2、SNAT(source network address translation)   源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,俗称IP地址欺骗或伪装   内部地址要访问公网上的服务时(如web访问),内部地址会
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
nat 表典型应用包括 SNAT(源网络地址转换)、DNAT(目的网络地址转换)、MASQUERADE(地址伪装)等。nat 表典型应用可以实现对网络流量的控制和转换。 五、总结和答疑 通过本节课程的学习,学生将掌握 iptables ...
[计算机网络]十三、配置iptables防火墙SNATDNAT的策略及应用、使用layer7应用层过滤功能)
m0_48638643的博客
04-09 1961
1、iptables和firewalld iptables是之前centos6用的防火墙规则命令,而firewalld是centos7和8使用的命令。当然在centos7和8中这两个规则命令都能够使用。firewalld底层调用的命令仍是iptables
iptablesSNATDNAT
稻香的博客
06-05 858
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例二. DNAT原理与应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修改目标端口5. DNAT案例5.1 修改win10网络配置5.2 修改主机2的网卡并重启5.3 修改主机2的
iptables防火墙SNATDNAT
2302_78835233的博客
08-19 497
iptables防火墙SNATDNATiptables 四表五链
[翻译]TCP穿透NAT技术
02-09 1442
原文:http://nutss.gforge.cis.cornell.edu/pub/imc05-tcpnat/ 译者:云中哈哈 翻译开始时间:2007.1.22 译文: Abst
数据传输安全(二)
Piwrim的博客
01-03 5309
IPSEC协议簇安全框架
NAT 爆破:在NAT 背后的主机之间建立TCP 连接
【任兆强 的专栏】
04-23 3736
摘要防火墙和网络地址转换(NAT)设备变得越来越流行了,它们给使用P2P 协议建立连接造成了明显的问题。适当的进行配置,这些中间箱阻止从局域网以外发起的TCP 连接请求。这篇文章提出一种新颖的机制用于在两台中间箱后面的主机之间创建直接的TCP 连接,且需要尽可能少的第三方的帮助。我们在通常的环境下使用通常的硬件实现了这些解决方案中的两个。我们可以在两台全部在典型的NAT 设备后面的主机之间创建直接
iptables SNAT DNAT
07-28
iptables是一个在Linux系统上用于配置防火墙规则的工具。SNATDNATiptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。 DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址。它通常用于将公共网络上的目标IP地址转换为内部网络的私有IP地址,以便数据包可以正确地被内部网络中的主机接收。 这些选项在iptables规则中使用,可以按照特定的条件对数据包进行转换和定向,以实现网络流量的控制和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一杯甜酒z

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值