“Shell“SNAT,DNAT

已于 2023-05-24 11:56:18 修改
阅读量447 收藏 1
点赞数 1
文章标签: 网络 服务器 linux
于 2023-05-23 21:44:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wanghwei17/article/details/130827940
版权

文章目录

一.SNAT

1.1 SNAT原理
  • SNAT原理:修改数据包的源地址。
  • SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)
  • SNAT转换前提条件:
    • 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
    • 2.Linux网关开启IP路由转发
1.2 SNAT的应用环境

局域网共享上网
将局域网中的IP地址映射到 dns 网关服务器上,将私网IP地址转换成公网IP地址,从而访问位于公网的服务器。

在这里插入图片描述

1.3 SNAT工作原理

未作SNAT转换时
源主机发送数据包给目的主机,目的主机可以收到数据包,但目的主机发送回包时,数据包无法发送给源主机。

在这里插入图片描述

1.4 进行SNAT转换后

工作原理:
1.将从内网发到外网的数据包的源IP由私网IP转换成公网IP
2.将从外网服务器响应返回到内网的数据包的目的IP由公网IP转换成私网IP

在这里插入图片描述

1.5 配置SNAT策略

SNAT转换前条件

  • 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
  • Linux网关开启IP路由转发

1.开启IP路由转发

临时打开
echo 1 > /proc/sys/net/ipv4/ip_forward  
或
sysctl -w net.ipv4.ip_forward=1
 
永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward=1    #将其添加进配置文件
 
sysctl -p                #读取修改后的配置

2.SNAT转换

转换为固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j SNAT 
--to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j SNAT 
--to-source 12.0.0.1-12.0.0.10
 
转换为非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j MASQUERADE

小知识扩展:
一个IP地址做SNAT转换,一般可以让内网 100到200 台主机实现上网。

常用指令作用
-t指定nat表
-A指定哪个链里面修改
-s指定对哪个源地址进行修改
-o指定修改完后再哪个出站网卡
-j指定类型
–to转换成一个固定的外网ip地址
1.6SNAT实验

首先配置服务端:
服务器位于公网,IP地址为12.0.0.100/24。开启http服务

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.100
NETMASK=255.255.255.0
GATEWAY=12.0.0.50
 
systemctl restart network
 
yum -y install httpd
#进入http服务的网页目录
cd /var/www/html
#在其中写入一个文件
echo 'hello world!' > test.html
#开启服务
systemctl start httpd

再配置网关服务器
进行SNAT转换,ens33作为私网IP地址,ens35作为公网IP地址。首先,在虚拟机中设置两张网卡。

vim /etc/sysconfig/network-scripts/ifcfg-ens35
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.50
NETMASK=255.255.255.0
 
vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.40
NETMASK=255.255.255.0
 
systemctl restart network

网关服务器设置iptables规则

#安装iptables服务
yum -y install iptables*
#删除iptables规则及nat表中规则
iptables -F && iptables -F -t nat
#查看iptables规则
iptables -nL
 
vim /etc/sysctl.conf
net.ipv4.ip_forward=1    
 
sysctl -p   
 
#允许192.168.88.0网段进入网关服务器转发
iptables -t filter -A FORWARD -s 192.168.88.0/24 -j ACCEPT
#指定出站网卡ens35,将192.168.88.0网段IP地址转换为12.0.0.50
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens35 -j SNAT 
--to 12.0.0.50

在这里插入图片描述
客户端

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.20
NETMASK=255.255.255.0
GATEWAY=192.168.88.40
 
systemctl restart network

结果
在这里插入图片描述

服务端

cd /var/log/httpd
grep 'test.html' access_log

在这里插入图片描述

二.DNAT

2.1 DNAT工作原理
  • 将外网发来的数据包的目的地址由公网IP或端口转换成私网IP或端口;网关服务器将私网IP转发给内网服务器
  • 将内网服务器发来的应答响应数据包的源地址由私网IP或端口转换成公网IP或端口

在这里插入图片描述

2.2 配置DNAT策略

DNAT转换前提条件:

  • 局域网的服务器能够访问Internet
  • 网关的外网地址有正确的DNS解析记录
  • Linux网关开启IP路由转发

在这里插入图片描述

DNAT转换

##发布内网的web服务
##把从ens35进来的要访问web服务的数据包目的地址转换为 192.168.88.40
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.50 -p tcp --dport 80 
-j DNAT --to 192.168.88.40
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.50 -p tcp --dport 80 
-j DNAT --to-destination 192.168.88.40
 
##发布时修改目标端口
##发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 
-j DNAT --to 192.168.80.10:22

注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回

2.3 DNAT实验

服务端

vim /etc/sysconfig/network-scripts/ifcfg-ens33 
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.30
NETMASK=255.255.255.0
GATEWAY=192.168.88.40
 
systemctl restart network
 
yum -y install httpd
#进入http服务的网页目录
cd /var/www/html
#在其中写入一个文件
echo 'hello world!' > test.html
#开启服务
systemctl start httpd

在这里插入图片描述
客户端

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.200
NETMASK=255.255.255.0
GATEWAY=12.0.0.50
 
systemctl restart network

在这里插入图片描述
网关服务器

vim /etc/sysconfig/network-scripts/ifcfg-ens35
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.2
NETMASK=255.255.255.0
 
vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.2
NETMASK=255.255.255.0
 
systemctl restart network

在这里插入图片描述
配置DNAT策略

#外网主机访问发送数据包允许通过
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.2 -p tcp --dport 8080 
-j DNAT --to 192.168.88.30:80
 
#服务器的回包发送给访问主机
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens35 -j SNAT 
--to 12.0.0.2

在这里插入图片描述

Wanghwei 17
关注
Android动态屏蔽IP地址
学无止境
06-23 1591
我们想实现这样一个需求:当Android设备假待机(屏幕休眠)的时候,屏蔽某些IP地址,唤醒时解除屏蔽。同时要屏蔽的IP可以动态配置。
shell实例手册
yonggeit的博客
05-27 6028
shell实例手册 1文件{ touch file # 创建空白文件 rm -rf 目录名 # 不提示删除非空目录(-r:递归删除 -f强制) dos2unix # windows文本转linux文本 unix2dos # linux文本转windows文本 enca filename ...
iptable端口重定向 MASQUERADE
tycoon的专栏
11-04 9903
首先简述下NAT服务器在负载均衡中做了什么,简单的说就是Linux (内核2.4以后是Netfilter肩负起这个使命滴)内核缓冲区修改来源,目标地址。 但是,由于Netfilter工作在Linux 内核我们无法直接操作它,所以Linux提供了iptables。 用iptables实现: 说到iptables目前最多应用在防火墙了,我们公司的所有的服务器都配置了ipt
IPtables中SNAT、DNAT和MASQUERADE的含义
热门推荐
jk110333的专栏
11-27 9万+
IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNAT和DNAT。 SNAT是source networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络服务器比如网站web服务器接到访
iptables中DNAT、SNAT和MASQUERADE
weixin_30845171的博客
08-28 1179
DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映射,SNAT(Source Network Address Translation,源地址转换)通常被叫做源映射。 这是我们在设置Linux网关或者防火墙时经常要用来的两种方式,要理解iptables中DNAT、SNAT和MASQUERADE,我们要先了解一...
iptables 继续学习 “增删改查” 、MASQUERADE
weixin_42191545的博客
11-01 928
iptables 继续学习 “增删改查” 1.当我想在路由表中添加拒绝192.168.10.182 发来的sshd (服务端口为22)请求时如何设置: iptables -t filter -I INPUT -s 192.168.10.182 -p tcp -m tcp --dport 22 -j DROP 2.当我想在路由表添加 去往192.168.10.182 只允许20到80端口的tcp ,其他都拒绝怎么设置: iptables -t filter -I FORWARD -d 192.168.10.
项目实战1——基于iptables的SNAT+DNAT与Docker容器发布的项目
REPCHAOCHAO的博客
08-18 3692
超超项目实战1——基于iptables的SNAT+DNAT与Docker容器发布的项目
配置SNAT实现共享上网2
LIGANG0704的博客
05-20 872
 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建一套基于“局域网-Linux网关-互联网”的案例环境 沿用练习一的环境,稍作调整。 停用虚拟机svr5、gw1、pc120上的iptables服务,清空防火墙规则: [root@gw1 ~]# service iptables stop iptables:将链设置为政策 ACCEPT:filter [确定...
shell脚本合集、练习题(附答案)
yongqian的博客
01-16 2744
[root@localhost net_subject]# cat showip.sh #!/bin/bash # 显示网卡的ip地址 #ip add|grep "\<inet\>"|awk '{print "网卡"$NF"的ip是"$2}' # 除去本地回环地址的ip ip add|grep "\<inet\>"|grep -v "\<lo\>"|awk '{print "网卡"$NF"的ip是"$2}' # 显示默认网关 ip route|grep "def...
IPtables中SNAT和MASQUERADE的区别
weixin_30776545的博客
11-27 240
IPtables中可以灵活的做各种网络地址转换(NAT)   网络地址转换主要有两种:SNAT和DNAT   SNAT是source network address translation的缩写   即源地址目标转换   比如,多个PC机使用ADSL路由器共享上网   每个PC机都配置了内网IP   PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip ...
Linux iptables MASQUERADE的作用
fantasyYXQ的博客
06-15 2561
iptables
iptables中DNAT、SNAT和MASQUERADE的理解
weixin_34221773的博客
03-22 576
IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNAT和DNAT SNAT是source network address translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络服务器比如网站web服务器接到访问...
iptable 理解
王者再次归来
07-27 2989
这个当初我理解不了,主要是没把netfilter理解清楚。 Netfilter是集成在内核中的,用来定义存储各种规则的。Iptalbe是修改这些规则的工具,修改后存在netfilter里面。 数据包进入LINUX服务器时,先进入服务器的netfilter模块中进行判断处理。   Netfilter包含有三种表,三种表下共包含有五种链,链下面包含各种规则。即表包含若干链,链包含若干规则。  ...
IPTABLES中SNAT和MASQUERADE的区别
瑞风轻拂
10-23 5650
IPtables中可以灵活的做各种网络地址转换(NAT网络地址转换主要有两种:SNAT和DNAT   SNAT是source network address translation的缩写即源地址目标转换 比如,多个PC机使用ADSL路由器共享上网 每个PC机都配置了内网IP PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip 当外部网络服务器
详细分析SNAT和DNAT原理与应用
码海小虾米_的博客
05-25 1万+
SNAT原理与应用一、 SNAT原理的应用1.1 原因环境和原理1.2 开启SNAT的命令1.3 SNAT转换1.3.1 SNAT转换1∶固定的公网IP地址∶1.3.2 SNAT实验1.3.3 SNAT转换2: 非固定的公网IP地址 (共享动态IP地址);二、 DNAT原理的应用2.1 DNAT的工作原理2.2 DNAT转换前提条件2.3 DNAT转换1∶ 发布内网的Web服务2.4 DNAT转换2∶ 发布时修改目标端口2.5 防火墙规则的备份和还原三、Linux抓包 一、 SNAT原理的应用 1.1 原
iptables防火墙详解
虎哥LoveDroid
02-16 1916
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptables 是 Linux 管理防火墙规则的命令行工具,处于用户空间。
iptables命令详解和举例(完整版)
09-07 4万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
iptables SNAT DNAT
最新发布
07-28
SNAT和DNAT是iptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wanghwei 17

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值