本次实验的知识点
- SNAT策略及应用
- DNAT策略及应用
- 规则的导出,导入
一.SNAT策略概述
- SNAT策略的典型应用环境
- 局域网主机共享单个公网IP地址接入Internet
- SNAT策略的原理
- 源地址转换,Source Network Address Translation
- 修改数据包的源地址
SNAT策略的工作原理2-1
- 未作SNAT转换时的情况
(因为私网地址是不可以直接访问公网的,如果不做转换,路由那边会形成黑洞抹杀数据)
SNAT策略的工作原理2-2
- 进行SNAT转换后的情况(私网转公网)
(首先局域网PC机向Web服务器发送服务请求,源ip为192.168.1.234,目标ip为58.63.236.45,因为SNAT策略,网关服务器在数据进行路由选择后处理数据包,然后将私网的源地址转换成公网的地址,访问公网Web服务器)
DNAT策略概述
- DNAT策略的典型应用环境
- 在Internet中发布位于企业局域网内的服务器
- DNAT策略的原理
- 目标地址转换,Destination Network Address Translation
- 修改数据包的目标地址
DNAT策略的工作原理
- 进行DNAT转换后的情况(公网转私网)
(客户机源地址:173.96.97.98 目标地址:218.29.30.31 向内网的Web服务器发出服务请求,因为DNAT策略,网关服务器在进行路由选择前处理数据包,将客户机数据的目标218.29.30.31换成192.168.1.6,这样就能访问私网服务器了)
规则的备份及还原
(1)保存防火墙规则 iptables-save
由于iptables-save 命令只是把规则内容输出到屏幕上,因此当需要保存为固定的文件时,还需结合重定向输出的操作以完成备份。
(2)备份防火墙规则 iptables-save > /opt/iprules_all.txt
将iptables规则保存到opt目录里iprules_all.txt
(3)导入(还原)规则 iptables-restore < /opt/iprules_all.txt
将保存了规则的文本导入到iptables里面
清空所有防火墙规则
停用iptables服务即可一次清空所有表的规则
systemctl stop iptables
systemctl status iptables
设置具体的iptables规则
(1)清理已有的规则
为了避免已有的防火墙规则造成干扰,通常会预先安排一个“清理”操作,删除所有表中用户自定义的链,清空所有链内的规则。
$IPT -t filter -X //删除各表中自定义的链
$IPT -t filter -F //清空各表中已有的规
实验:
(1)在外网创建一个新浪服务器(并添加一块NAT网卡)
NAT网卡设置为20.0.0.27 网关设置为20.0.0.26
(2)创建一个网关服务器(添加一个vm1网卡和NAT网卡)
VM1网卡设置为192.168.100.1 设置子网掩码 其余不设置
NAT网卡设置为20.0.0.26 网关设置为20.0.0.2 DNS
(3)在局域网中创建一个PC机添加一块VM网卡
vm1网卡设置为192.168.100.25 网关:192.168.100.1
实验要求:
1.用SNAT策略使PC机能访问新浪服务器的HTTP服务
2.用DNAT策略使PC机能访问新浪服务器的HTTP服务
3.给PC机的SSH服务端口在网关服务器上做个映射,使得新浪服务器能通过自定义的防火墙端口映射远程连接
首先配置PC机
关闭防火墙
关闭Linux内核
配置网关服务器
先关闭Linux内核
关闭firewalld 防火墙
挂载 mount /dev/cdrom /mnt
配置本地源
安装iptables防火墙管理工具
配置永久路由转发
开启防火墙
SNAT策略
iptables -t nat -A POSTROUTING -s 192.168.100.25 -o ens33 -j SNAT–to-source 20.0.0.27
测试能否访问新浪服务器的HTTP服务a
进入图形界面用火狐浏览器
DNAT策略
iptables -t nat -A PREROUTING -i ens33 -d 20.0.0.26 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.25
也能访问
查一下防火墙规则表 iptables -t nat -L --line-numbersa
删除表中规则
iptables -t nat -D POSTROUTING 2(删除POSTROUTING链里的第二条DNAT规则)
设置PC远程访问端口和防火墙端口的映射
设置完了后到新浪服务器远程连接测试
ssh root@20.0.0.26 -p 2222
配置新浪服务器
关闭防火墙
关闭内核
配置本地源
安装HTTP服务