SNAT概述

SNAT策略及应用

DNAT策略及应用

规则的导出，导入

使用防火墙

SNAT策略概述

SNAT策略的典型应用环境

• 局域网主机共享单个公网IP地址接入Internet

SNAT策略的原理

• 源地址转换，Source Network Address Translation
• 修改数据包的源地址

SNAT原理与应用

SNAT应用环境;局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)SNAT原理;源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映谢

SNAT转换前提条件:

1.局域网各主机己正确设置IP地址、子网掩码、默认网关地址2.Linux网关开启IP路由转发

linxu想系统本身是没有转发功能只有路由发送数据临时打开:

echo i>/proc/ sys / net/ipv4/ip_forward或

syactl -w net.ipv4.ip_forward=1水久打开:

vim ietci sysctl.conf

net.ipv4.ip_forward - 1 将此行写入配置文件

sysctl -p#将取修改后的配置

注:还有一种方式静态路由,这个就比较麻烦

SNAT转换1:固定的公网IP地址:

4配置SNAT策略，实现snat功能，将所有192.168.100.0这个网段的ip的源ipi改为10.0.0.1

iptables -t nat -A POSTROUTING -5 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1

可换成单独IP出站外网网卡 外网IP 或

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IVzx54eA-1646661418494)

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -jSNAT --to-source 10.0.0.1-10.0.0.10

​ 内网IP 出站 外网 网卡 外网IP或地址池

SNAT转换2:非固定的公网IP地址(共享动态IP地址):

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

小知识扩展:

一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网。

DNAT原理与应用:

DNAT应用环境:在 Internet中发布位于局域网内的服务器

DNAT原理:目的地址转换，根据指定条件修改数钢包的目的ip地址，保证了内网服务器的安全，通常被叫做目的映谢.

DNAT转换前提条件:

1、局域网的服务潜能修访问Internet

2、网关的外国地址有正确的DNS解析记录

3、Linux网关开启工上路由转发

vim /etc/sysct1.conf

net.ipv4.ip_forward= 1

syscti -p

DNAT转专换1:发布内网的web服务

##把从ens37进来的要访问web服务的数据包目的地址转换为192.168.100.13

iptables -t nat-A PREROUTING -i en337 -d 10.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.13或

入站 公网IP 内网服务器IP

iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.l -p tcp --dport 80 -j DNAT --to-destination192.168.100.13

入站 公网IP 端口 内网服务器工卫

注:默认时80

同包

iptables -t nat -a POSTROUTING-s 192.168.100.13-o.ens37-j SNAT --to 10.0.0.1

​ 内网IP 出站外网网卡 外网地址

DNAT策略概述**

DNAT策略的典型应用环境

• 在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

• 目标地址转换，Destination Network Address Translation（私网——>公网地址）
• 修改数据包的目标地址

入站外网国网卡外网IP

内网服务器IP

iptables -t nat -A PREROUTING -i ens37 -F_tp --dport 80 -j DNAT --to 192.168.100.13-192.168.100.20 地址段

DNAT转换2:发布时旅改目标端口

​ #发布局域网内部的openSsH服务器，外网主机需使用250端口进行连接

​ iptablcs -t nat -M PREROUTING -i en3.37-d 10.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.100.13:22

​ 入站外网网卡 外网IP 外网远程端口 内网IP和远程端口号

著在外网环境中使用ssH测试 ssh -p 250 root@10.0.0.1

yum -y install net-tools 若没有irconfig命令可提前使用yum进行安装

ifconfig ens33

注意;使用DNAT时，同时还有配合SNAT使用，才能实现响应数据包的正确返回

扩展

主机型防火墙主要使用INPUT、OTPUT链，设置规则时一般要详细的指定到端口

网络型防火墙主要使用FORMARD链，设置规则时很少去指定到端口，"-股指定到IP地址或者到网段即可防火墙规则的备份和还原

导出l备份)所有长的规则.

iptable5-5ave> /opt/ipt.txt

导入(还原)规则

iptables-restore < /optiipt .txt

将iptables规则文件保存在/etc/sysconfig/iptables中，iptables服务启动时会自动还原规则iptables-save > /etci/sysconfig/iptables

systemctl stop iptablesi停止iptables服务会清空掉所有表的规则

systemctl start iptables郸启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

tcpdump tcp -i ens33 -t -5 0 -c 100 and dst port ! 22.and src net 192.168.1.0/24 -w ./target.cap

(l) tcp; ip icmp arp rarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

(2）-i ena33 :只抓经过接口lens33的包

(3）-t :不显示时间藏

(4)-s 0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包

( 5）-c 100:只抓取100个数据包

（6）dst port !22:不抓联目标端口是22的数椐包

总
SNAT策略原理及应用方法
DNAT策略原理及应用方法
IPtables规则备份还原方法