iptables--对DNAT和SNAT的个人理解

最新推荐文章于 2024-02-17 19:26:10 发布
最新推荐文章于 2024-02-17 19:26:10 发布
阅读量1.1k 收藏 1
点赞数 1
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thomas_CYQ/article/details/103661204
版权

对DNAT和SNAT的个人理解

理解iptablies的DNAT和SNAT,对于理解LVS的负载均衡有很好的承接作用,但是之前在理解DNAT和SNAT一直卡在为什么要在postrouting还是prerouting链上设置,所以写此博客以此加深记忆。

iptables的报文流向

首先要理解的是iptables的报文流向,如图所示是,上层协议及用户层空间,以下均为系统的内核空间,因此iptables是工作在内核级的程序。
从图中可以分析出,报文流向有三个:
1.prerouting–>route rules–>input–>user space:流向用户空间
2.user space–> output–>route rules–>postrouting:从用户空间流出
3.prerouting–>route rules–>forward–>postrouting:经过forward做转发功能
在这里插入图片描述

SNAT和DNAT

NAT(net address translate):网络地址转换,由于IPV4地址数量资源匮乏,无法满足需求如此巨大的互联网,于是聪明的网络工程师就搞出了nat这个东西。
NAT原理:如图所示,局域网中使用的都是ipv4的私有地址,然后通过nat代理转发局域网中的所有请求和响应,所以局域网与互联网是不能直接“见面”的,而局域网中的地址都是私有地址,也就是说任何一个局域网都可以使用,使得ip地址复用。。

在这里插入图片描述
SNAT(source nat):源地址转换,以上图为例,就是Host A/B/C所在的网络为局域网,server(假设地址为210.33.5.22)所在的网络为公网。SNAT就是将局域网中的地址转换,NAT(假设面向局域网地址为192.168.1.3,面向公网地址为210.33.5.11)代为转发。

Host A (192.168.1.2)-->server(210.33.5.22)  

snat转发过程:
host A (192.168.1.2)--> nat(192.168.1.3)
nat(210.33.5.11)-->server(210.33.5.22)

#nat接收报文并修改请求报文中source地址为本机的公网地址(210.33.5.11),
然后发送给server(210.33.5.22)

所以服务器端收到的是来自nat的请求。那么在iptables中如何设置呢?
首先由于是nat,所以肯定用到的是nat表,那么报文的流向就是:

prerouting-->forward-->postrouting

那么要设置在prerouting还是postrouting呢?(nat表中不支持forward)
如果是在prerouting定义,那必然不符合逻辑,因为后面还要查路由规则,如果本机由多个公网地址呢?报文的目标地址已经是server地址,也就是非nat的地址,也就是说本身就是要穿过nat,而snat的目的就是要转换源地址,所以必须在postrouting时修改源地址为本机的公网地址。

DNAT:(destination nat):目标地址转换,公网地址发送回应包给局域网的主机时,nat将公网地址返回给自己的地址转换为局域网地址。


dnat回应包转发过程:
server(210.33.5.22)-->nat(210.33.5.11)
server(210.33.5.22)--> host A (nat将目标地址修改为:192.168.1.2)

#作为回应包,因为发出的请求包时从nat发出去的,所以server自然也是将包回应给nat,
而nat中已经记录了当时地址转换的局域网地址,所以nat将原本回应给自己的包,
修改目标地址转发给局域网内发起请求的主机。

由SNAT设置了postrouting可知,要设置DNAT规则,须在prerouting时设置。
这是因为如果是在postrouting设置,那么由于server的相应包是给nat的,所以nat就会以为是发送给自己的,直接收下并往INOUT链上走,而不是转发,自然就到实现不了DNAT的功能,所以在prerouting上设置时,判断是否要转发,即可决定数据报文的走向。

Thomas_CYQ
关注
专栏目录
Linux系统安全:NAT(SNAT、DNAT
Personal_Liberty的博客
08-23 1564
NAT: network address translation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链请求报文:修改源/目标IP,响应报文:修改源/目标IP,根据跟踪机制自动实现NAT的实现分为下面几种类型:SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改源IP。
SNAT与DNAT
python基础
11-19 1318
SNAT与DNAT SNAT是转换源地址,是在postrouting链上,相当于是你在一个局域网内,你的ip是192.168.200.10主机A,你需要访问公网主机B,ip是172.168.89.105,如果不改变你的源地址,走路由将主机A的数据发送给B,接收到A的请求返回数据给A,但是B无法看到私网的IP,所以B只能找上一级路由,为了实现数据包的正确发送及返回,网关必须将A的址转换为一个合法的公...
PREROUTING 和 POSTROUTING, SNAT 和 DNAT 剖析
Criss_Leung的专栏
09-15 5299
位置: PREROUTING 和 POSTROUTING是位于NAT表中的两条数据中转链。 NATNAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的
iptables的背后
ytfy339784578的专栏
03-13 1390
每次修改iptables为子设备转发上网都要瞎搜索很久,iptables太踏马的复杂了,这次搜索我一定要写点东西记住哪条规则让子设备上了网。 背景: 一台独设备A,只连接B设备; 一台能上网设备B,有网卡与A连接; B设备B1网卡与A设备连接; B设备B2网卡上外网; 毕。 目标: A设备上外网; 毕。 实施: 1. iptables的PREROUTING确保通常(一...
PREROUTING 和 POSTROUTING, SNAT 和 DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
Iptables 最佳实践 !
u014389734的博客
11-22 217
考虑一种网络拓扑应用情景,一个内部局域网中有多台服务器提供不同的服务,如web服务、FTP服务、ssh、telnet等,通过服务器(或网关、防火墙)连接外部网络,如果外部网络上的主机需要访问这些服务器,则需要在网关上实现转发。 再转述成另一种应用场合,多台设备连接到一台服务器,服务器有2个网卡,分别连接内外网。外网无法直接访问设备上的数据、服务。在服务器上实现转发后,则可达到目的。 网络拓扑如下: 比如,可以通过服务器的8081端口访问1号设备的web服务,8082端口访问2号设备web,这样可以在外
iptables防火墙 (SNAT、DNAT
Y_S_J_112的博客
09-25 1741
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)局域网共享上网未作SNAT转换时的情况进行SNAT转换后的情况。
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2945
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
iptables防火墙之SNAT与DNAT
weixin_67582338的博客
05-12 3465
一、SNAT策略及应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.1.2 SNAT 原理 (1)源地址转换 (2)修改数据包的源IP地址,通常被叫源映射。 1.1.3 SNAT 转换前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 Linux系统本身是没有转发功能,只有路由发送数据。 1.2 开启SNAT的命
iptables防火墙(二)-SNAT和DNAT原理与应用
Another_Feng的博客
03-19 1018
@TOC SNAT原理与应用: SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理 修改数据包的源地址。 SNAT转换 SNAT转换前提条件: 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 永久打开: vim /etc
iptables的SNAT和DNAT
zzn0109的博客
05-24 823
目录 一、SNAT概念 1.1 SNAT的原理 1.2 SNAT转换流程 1.3 SNAT的实例 1.3.1 临时打开和永久打开 1.3.2 SNAT的转发方式 1.4 实例 二、DNAT概述 2.1 DNAT的原理 2.2 DNAT转换流程 2.3 DNAT的实例 2.3.1 Linux网关开启路由转发 2.3.2 DNAT转换的方式 总结 一、SNAT概念 1.1 SNAT的原理 SNAT适用于局域网主机共享单个公网IP地址接入Internet 源地址转换(.
详细分析SNAT和DNAT原理与应用
码海小虾米_的博客
05-25 1万+
SNAT原理与应用一、 SNAT原理的应用1.1 原因环境和原理1.2 开启SNAT的命令1.3 SNAT转换1.3.1 SNAT转换1∶固定的公网IP地址∶1.3.2 SNAT实验1.3.3 SNAT转换2: 非固定的公网IP地址 (共享动态IP地址);二、 DNAT原理的应用2.1 DNAT的工作原理2.2 DNAT转换前提条件2.3 DNAT转换1∶ 发布内网的Web服务2.4 DNAT转换2∶ 发布时修改目标端口2.5 防火墙规则的备份和还原三、Linux抓包 一、 SNAT原理的应用 1.1 原
iptables 防火墙(二)——SNAT、DNAT
Katie_ff的博客
06-12 1785
SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址就是把内网地址转成指定的IP地址,这个iP地址可以访问公网。
snat与dnat的区别
jkwanga的博客
05-18 1万+
原理上来讲nat 前导:NAT(Network AddressTranslation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。(nat就是防火墙的nat表)实际上就是在,在系统上建立nat表,提供IP的映射转发的功能。 内核中数据包的传输过程:(图片来自网络) 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 如果数据包就是进入本机的,数据包就会到达INPUT链。经INPUT链检查后,数据包被发往本地进程。本地进
防火墙 iptables(二)-------------SNAT与DNAT搭建
最新发布
zzzxxx520369的博客
02-17 1577
内网主机通过网关服务器的SNAT转换实现访问外网不经过nat的地址为PC1(centos1)自己的地址,使用虚拟机环境才会出现这种情况,市场环境是不通的。经过nat之后的地址是公司的公网ip地址,由网关服务器iptables规则SNAT实现。
关于DNAT策略的简单应用(发布公司内网中的服务器)
woody_0011的博客
12-12 2038
与SNAT不同,DNAT是通过修改数据包的目标IP地址和目标端口。DNAT与SNAT应用非常相似,只是应用的方向相反。 SNAT只能用在nat表的postrouting链,而DNAT只能用在nat表的prerouting链和output链。 DNAT的作用一般是用来将公司内网中的服务器发布到外网中,原理为,当internet中的客户机提交的http请求到达企业的网
iptables之snat
fengcai_ke的博客
07-19 1491
iptables snat
iptables之dnat,snat原理及配置
wayees的博客
01-12 1014
准备三台机器: A:10.35.78.64 iptables:10.35.78.69,172.18.101.111 B:172.18.101.222 iptables的黑白名单策略的区别: 黑名单: [root@iptables ~]# iptables -I INPUT -s 10.35.78.64 -j REJECT [root@iptables ~]# iptables -nvL Chain INPUT (policy ACCEPT 37 packets, 3497 bytes) pkts byt
iptables 具体上如何使用 DNAT 和 SNAT?
03-31
DNAT (Destination NAT) 和 SNAT (Source NAT) 是 iptables 中的两个重要功能,用于修改数据包的目的地址和源地址,以实现网络地址转换和负载均衡等功能。具体上,DNAT 可以将数据包的目的地址转换为指定的地址,而 SNAT 可以将数据包的源地址转换为指定的地址。 下面是具体的使用方法: 1. DNAT 使用 DNAT 可以将数据包的目的地址转换为指定的地址,具体方法如下: ``` iptables -t nat -A PREROUTING -d [原始目的地址] -j DNAT --to-destination [目标地址] ``` 其中,-t nat 表示指定 iptablesnat 表,-A PREROUTING 表示在数据包进入路由前应用规则,-d [原始目的地址] 表示匹配数据包的原始目的地址,-j DNAT 表示将匹配的数据包进行 DNAT 转换,--to-destination [目标地址] 表示指定目标地址。 例如,将来自 192.168.1.2 的数据包的目的地址转换为 10.0.0.2: ``` iptables -t nat -A PREROUTING -d 192.168.1.2 -j DNAT --to-destination 10.0.0.2 ``` 2. SNAT 使用 SNAT 可以将数据包的源地址转换为指定的地址,具体方法如下: ``` iptables -t nat -A POSTROUTING -s [原始源地址] -j SNAT --to-source [目标地址] ``` 其中,-t nat 表示指定 iptablesnat 表,-A POSTROUTING 表示在数据包出路由后应用规则,-s [原始源地址] 表示匹配数据包的原始源地址,-j SNAT 表示将匹配的数据包进行 SNAT 转换,--to-source [目标地址] 表示指定目标地址。 例如,将来自 192.168.1.2 的数据包的源地址转换为 10.0.0.2: ``` iptables -t nat -A POSTROUTING -s 192.168.1.2 -j SNAT --to-source 10.0.0.2 ``` 需要注意的是,DNAT 和 SNAT 都会修改数据包的地址,因此需要谨慎使用,避免对网络造成影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值