SNAT策略及应用
DNAT策略及应用
规则的导出,导入
使用防火墙
SNAT策略概述
SNAT策略的典型应用环境
- 局域网主机共享单个公网IP地址接入Internet
SNAT策略的原理
- 源地址转换,Source Network Address Translation
- 修改数据包的源地址
SNAT原理与应用
SNAT应用环境;局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)SNAT原理;源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映谢
SNAT转换前提条件:
1.局域网各主机己正确设置IP地址、子网掩码、默认网关地址2.Linux网关开启IP路由转发
linxu想系统本身是没有转发功能只有路由发送数据临时打开:
echo i>/proc/ sys / net/ipv4/ip_forward或
syactl -w net.ipv4.ip_forward=1水久打开:
vim ietci sysctl.conf
net.ipv4.ip_forward - 1 将此行写入配置文件
sysctl -p#将取修改后的配置
注:还有一种方式静态路由,这个就比较麻烦
SNAT转换1:固定的公网IP地址:
4配置SNAT策略,实现snat功能,将所有192.168.100.0这个网段的ip的源ipi改为10.0.0.1
iptables -t nat -A POSTROUTING -5 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1
可换成单独IP出站外网网卡 外网IP 或
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IVzx54eA-1646661418494)
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -jSNAT --to-source 10.0.0.1-10.0.0.10
内网IP 出站 外网 网卡 外网IP或地址池
SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
小知识扩展:
一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网。
DNAT原理与应用:
DNAT应用环境:在 Internet中发布位于局域网内的服务器
DNAT原理:目的地址转换,根据指定条件修改数钢包的目的ip地址,保证了内网服务器的安全,通常被叫做目的映谢.
DNAT转换前提条件:
1、局域网的服务潜能修访问Internet
2、网关的外国地址有正确的DNS解析记录
3、Linux网关开启工上路由转发
vim /etc/sysct1.conf
net.ipv4.ip_forward= 1
syscti -p
DNAT转专换1:发布内网的web服务
##把从ens37进来的要访问web服务的数据包目的地址转换为192.168.100.13
iptables -t nat-A PREROUTING -i en337 -d 10.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.13或
入站 公网IP 内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.l -p tcp --dport 80 -j DNAT --to-destination192.168.100.13
入站 公网IP 端口 内网服务器工卫
注:默认时80
同包
iptables -t nat -a POSTROUTING-s 192.168.100.13-o.ens37-j SNAT --to 10.0.0.1
内网IP 出站外网网卡 外网地址
DNAT策略概述**
DNAT策略的典型应用环境
- 在Internet中发布位于企业局域网内的服务器
DNAT策略的原理
- 目标地址转换,Destination Network Address Translation(私网——>公网地址)
- 修改数据包的目标地址
入站外网国网卡外网IP
内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -F_tp --dport 80 -j DNAT --to 192.168.100.13-192.168.100.20 地址段
DNAT转换2:发布时旅改目标端口
#发布局域网内部的openSsH服务器,外网主机需使用250端口进行连接
iptablcs -t nat -M PREROUTING -i en3.37-d 10.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.100.13:22
入站外网网卡 外网IP 外网远程端口 内网IP和远程端口号
著在外网环境中使用ssH测试 ssh -p 250 root@10.0.0.1
yum -y install net-tools 若没有irconfig命令可提前使用yum进行安装
ifconfig ens33
注意;使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回
扩展
主机型防火墙主要使用INPUT、OTPUT链,设置规则时一般要详细的指定到端口
网络型防火墙主要使用FORMARD链,设置规则时很少去指定到端口,"-股指定到IP地址或者到网段即可防火墙规则的备份和还原
导出l备份)所有长的规则.
iptable5-5ave> /opt/ipt.txt
导入(还原)规则
iptables-restore < /optiipt .txt
将iptables规则文件保存在/etc/sysconfig/iptables中,iptables服务启动时会自动还原规则iptables-save > /etci/sysconfig/iptables
systemctl stop iptablesi停止iptables服务会清空掉所有表的规则
systemctl start iptables郸启动iptables服务会自动还原/etc/sysconfig/iptables中的规则
tcpdump tcp -i ens33 -t -5 0 -c 100 and dst port ! 22.and src net 192.168.1.0/24 -w ./target.cap
(l) tcp; ip icmp arp rarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i ena33 :只抓经过接口lens33的包
(3)-t :不显示时间藏
(4)-s 0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
( 5)-c 100:只抓取100个数据包
(6)dst port !22:不抓联目标端口是22的数椐包
总
SNAT策略原理及应用方法
DNAT策略原理及应用方法
IPtables规则备份还原方法
7248
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
