SNAT / DNAT 自定义链

已于 2023-11-30 21:03:46 修改
阅读量148 收藏 1
点赞数
文章标签: 网络 服务器 linux
于 2023-11-30 21:02:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WXALY/article/details/134721703
版权
本文详细介绍了Linux系统中的NAT(网络地址转换)技术,包括SNAT(源NAT)和DNAT(目的NAT)的实现原理、应用场景、转换前提条件以及iptables配置方法。重点展示了SNAT和DNAT如何处理内网访问外网和外网访问内网的需求。
摘要由CSDN通过智能技术生成

目录

linux 系统本身是没有转发功能,只有路由发送数据

NAT

NAT的实现分为两类

SNAT

SNAT 应用环境

SNAT 原理

SNAT 转换前提条件

例图参考

开启 SNAT 命令

临时开启

永久开启

修改 iptables 网卡

DNAT

DNAT 应用环境

DNAT 原理

DNAT 转换前提条件

例图参考

DNAT 转换1: 发布内网的 Web服务

DNAT 转换2: 发布时修改目标端口

在内网上配置

在网关服务器添加 iptables 规则

测试外网是否能访问内网

linux 系统本身是没有转发功能,只有路由发送数据

NAT

—— PREROUTING

路由判断前

—— INPUT

进入本机的流量

—— OUTPUT

出本机的流量

—— POSTROUTING

路由判断后

NAT的实现分为两类

—— SNAT:source NAT ,支持 POSTROUTING , INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改 源IP ;让内网可以访问外网

—— DNAT:destination NAT ,支持 PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改 目标IP ;让外网可以访问到内网的机器

SNAT

SNAT 应用环境

局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由

SNAT 原理

源地址转换

修改数据包的源地址

SNAT 转换前提条件

局域网各主机已正确设置IP地址、子网掩码、默认网关地址

Linux网关开启IP路由转发

例图参考

开启 SNAT 命令
临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -W net.ipv4.ip_forward=1

永久开启
[root@localhost network-scripts]# sysctl -a|grep "ip_forward"
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.ens32.stable_secret"
sysctl: reading key "net.ipv6.conf.ens33.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
sysctl: reading key "net.ipv6.conf.virbr0.stable_secret"
sysctl: reading key "net.ipv6.conf.virbr0-nic.stable_secret"
net.ipv4.ip_forward = 0
net.ipv4.ip_forward_use_pmtu = 0
​
vim /etc/ sysctl. conf 
#打开配置文件
net. ipv4.ip_ forward = 1               
#将此行写入配置文件任意空行之中
​
sysctl -P
#读取修改后的配置

修改 iptables 网卡
SNAT 转换1:固定的公网ip地址
​
iptables -t nat -A POSTROUTING  -s  12.0.0.0/24  -o ens33 -j SNAT --to 192.168.91.101
#交给网关
​
iptables -t nat -A POSTROUTING -s  12.0.0.0/24 -o ens37 -j SNAT --to 192.168.91.101~192.168.91.103
#内网地址     出站网卡       外网ip或地址池
​
​
SNAT 转换2:非固定的公网ip地址
​
iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -d 192.168.100.0/24 -j MASQUERADE
​
iptables -t nat -A POSTROUTING -s  192.168.100.0/24 -o ens37 -j MASQUERADE
​
​

DNAT

DNAT 应用环境

在Internet中发布位于局域网内的服务器

DNAT 原理

修改数据包的目的地址

DNAT 转换前提条件

  1. 局域网的服务器能够访问Internet

  2. 网关的外网地址有正确的DNS解析记录

  3. Linux网关开启IP路由转发

vim /etc/ sysctl. conf 
#打开配置文件
net. ipv4.ip_ forward = 1               
#将此行写入配置文件任意空行之中
​
sysctl -P
#读取修改后的配置

例图参考

DNAT 转换1: 发布内网的 Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.100.102
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.100.102
​
​
#或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.100.102
                             #入站|外网网卡 | 外网ip                            内网服务器ip

DNAT 转换2: 发布时修改目标端口
#发布局域网内部的OpenSSH服务器, 外网主机需使用250端口进行连接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250-jDNAT --to 192.168.100.102:22

在内网上配置
#在内网上安装 httpd并开启服务
[root@localhost yum.repos.d]# yum install -y httpd
[root@localhost yum.repos.d]# systemctl start httpd
 
#关闭防火墙和安全终端
[root@localhost yum.repos.d]# systemctl stop firewalld.service 
[root@localhost yum.repos.d]# setenforce 0

在网关服务器添加 iptables 规则
#先清空规则
[root@localhost yum.repos.d]#iptables -F -t nat
​
#添加规则
[root@localhost yum.repos.d]#iptables -t nat -A PREROUTING -i ens38 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.102
 
#查看规则
[root@localhost yum.repos.d]#iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            12.0.0.1             tcp dpt:80 to:192.168.100.102
 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination    
​

测试外网是否能访问内网
#在外网服务器上
[root@localhost ~]# curl 12.0.0.1
​
#在内网服务器上
[root@localhost yum.repos.d]# tail /etc/httpd/logs/access_log 
127.0.0.1 - - [02/Nov/2021:18:05:31 +0800] "GET / HTTP/1.1" 403 4897 "-" "curl/7.29.0"
​

ikun is man
关注
iptables防火墙(二)——SNAT和DNAT
ver_mouth__的博客
05-11 1202
一:SNAT策略及应用 1.1SNAT应用环境和SNAT策略的原理 1.1.1SNAT策略的典型应用环境 局域网主机共享单个公网ip地址接入internet 1.1.2SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 1.1.3SNAT转换前提条件 ①局域网各主机已正确设置IP地址、子网掩码、默认网关地址 ②Linux网关开启IP路由转发 Linux想系统本身是没有转发功能,只能路由发送数据 临时打开: ech
自定义 SNAT / DNAT 实验举例
WXALY的博客
11-30 352
1. 准备三台虚拟机,定义为内网,外网以及网卡服务器2. 给网卡服务器添加网卡3. 将三台虚拟机的防火墙和安全终端全部关掉4. 给内网虚拟机和外网虚拟机 yum安装 httpd服务,并开启服务#安装服务 httpd#开启服务5. 配置网卡服务器的网卡6. 修改网卡7. 重启网卡服务8. 查找 net.ipv4.ip_forward = 09. 进入配置文件,并进行配置10. 检测11. 进入内网虚拟机,配置网卡服务12. 重启网卡服务13. 进入外网虚拟机,配置网卡服务。
iptables总结--理解四表五/snat/dnat/redirect/synproxy/性能
网络安全研究
11-04 3680
1. iptables四表五 四表五就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING); 表就是存储的规则;数据包到了该处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。 1.1 四表 filter表——过滤数据包 Nat表——用于网络地址转换(IP、端口) Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw表——决定数据包是否
SNAT&DNAT策略
白雪滑落树梢
10-02 2776
文章目录前言一总结 前言 一 总结
SNAT和DNAT的实现
weixin_50606361的博客
07-30 406
它指定了源地址转换(SNAT)规则,将源IP地址为192.168.50.0/24子网的数据包通过网络接口ens36进行转发,并将源IP地址转换为192.168.2.99。这个命令的作用是将目标IP地址为192.168.255.99、进入网络接口为ens36、目标端口为8000的TCP数据包的目标地址转换为192.168.50.1。这个命令用于清除所有已存在的iptables NAT网络地址转换)规则,以确保从一个干净的状态开始配置新的规则。指定了目标IP地址为192.168.255.99的数据包。
iptables 防火墙(二)- SNAT / DNAT 策略及应用 |(附体系思维导图)
JackTian
10-11 967
点击上方“杰哥的IT之旅”,选择“设为星标”干货、福利第一时间送达!SNAT 策略概述SNAT全称为:Source Network Address Translation...
SNAT和DNAT策略
陌上花开,静待绽放!
05-21 770
不要把别人的好,视为理所当然,如果有机会,你应该付出你的好。
snat和dnat以及firewalld
m0_71178834的博客
06-27 930
root@test3 ~]# iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 192.168.60.10:80 #从外网访问内网。[root@test2 ~]# firewall-cmd --get-default-zone #查看 当前系统的默认区域。(最小化安装是不带的,需要额外安装。内网 ------> 外网 内网ip转换成可以访问外网的ip。
iptables之SNAT与DNAT
qq_45088125的博客
05-17 3488
文章目录一、SNAT策略及应用1、SNAT策略概述1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2、开启SNAT命令3、SNAT案例 一、SNAT策略及应用 1、SNAT策略概述 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发
SNAT与DNAT
gcc001224的博客
05-12 494
文章目录引言一、SNAT原理及应用1.SNAT应用环境2.SNAT原理3.SNAT转换前提条件2.SNAT案例二、DNAT原理与应用1.DNAT 应用环境2.DNAT原理3.DNAT转换前提条件4.DNT案例 引言 今天 我们来教教大家snat和dnat的原理和实验过程 一、SNAT原理及应用 1.SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 2.SNAT原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射 3.SNAT
netfilter 五个钩子点实现SNAT和DNAT的方案
08-02
netfilter_queue则是提供一个队列,将特定数据包传递给用户空间程序,以便进行自定义处理,如SNAT和DNAT。 在实际应用中,通过return NF_QUEUE,我们可以将数据包放入队列,由用户空间的应用程序处理。这种方式允许...
iptables防火墙之SNAT与DNAT
qjwthink的博客
12-07 278
一、SNAT策略及应用 1.1SNAT策略概述 SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理 源地址转换 修改数据包的源地址 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 1.2开启SNAT的命令 1.2.1临时打开 echo 1 >/proc/sys/net/ipv4/ip_forward 或 sysctl ...
iptables里面的【SNAT与DNAT
weixin_67565536的博客
06-01 316
函数的作用 将命令序列按格式写在一起 可方便重复使用命令序列 语句块定义成函数约等于别名,定义函数,再引用函数 封装的可重复利用的具有特定功能的代码 函数的格式 方法一: [function] 函数名(){ 命令序列 [return x] #使用return或exit可以显示地结束函数 } 方法二 函数名(){ 命令序列 } ...
tcp三次握手和四次挥手
qq_25096749的博客
11-06 648
三次握手与四次挥手
嵌入式学习-网络高级-Day01
Xiaomo1536的博客
11-06 1074
对于读数据以及写单个来说,在主机询问报文里面报文头中字节长度固定,都是0x0006,(1个字节的单元标识符,1个字节功能码,2个字节的地址,2个字节的数据)输入寄存器,这个和保持寄存器类似,但是也是只支持读而不能写。报文头------功能码-------起始地址-------数量--------字节计数--------数据。报文头(字节长度可能发生变化)------功能码------字节计数-------数据。报文头------功能码-------地址-------数据/断通标志(2个字节)
第六章传输层协议、ACL
2401_86349554的博客
11-05 857
第六章传输层协议、ACL
Tcp/Ip协议,tcp相关文章,网络编程,通信协议文章汇总
求是
11-10 119
学习时候,有些书籍读了就忘记了。常读常新,特此留下地址。1. tcp/ip 协议卷。2.不为人知的网络编程。
C++编程:利用环形缓冲区优化 TCP 发送流程,避免 Short Write 问题
最新发布
Where there is life, there is hope.
11-10 747
在 TCP 编程中,`short write` 问题指的是在调用 `send` 或 `write` 系统调用时,实际发送的数据量比预期要少。这通常是因为网络协议栈发送缓冲区的空间不足,导致不能一次性发送完整的数据。遇到这种情况时,系统调用会返回实际发送的字节数,并将 `errno` 设置为 `EAGAIN`,表示缓冲区没有足够的空间来继续发送数据。
06 网络编程基础
Elaine2391的博客
11-07 1040
如果客户端发送的数据没有明确的结束标记,服务器可能会一直等待更多的数据,而客户端则可能因为没有收到响应而卡住。System.out.println("======以下代码是读取响应的结果======");通过这些方法,你可以确保客户端和服务器之间的通信具有明确的数据边界,避免因缺少结束标记而导致的问题。客户端收到服务器的SYN+ACK包后,发送一个ACK(确认)包,确认收到服务器的SYN+ACK包。System.out.println("接收到的数据报:" + message);
iptables删除数据
07-27
- *1* *2* *3* [08-linux网络管理-iptables基础(四表五、禁止ping、防火墙规则添加/删除、自建使用、SNAT\DNAT模式、...](https://blog.csdn.net/xingzuo_1840/article/details/128625112)[target="_blank" ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值