linux 实现SNAT技术

最新推荐文章于 2024-04-28 15:43:22 发布
最新推荐文章于 2024-04-28 15:43:22 发布
阅读量1.1k 收藏 2
点赞数 2
分类专栏: 笔记 文章标签: linux centos 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blh2393430755/article/details/123562927
版权

 一、实验环境

1.说明:SNAT是针对源ip地址做的地址转换

2.软件:VMware 15 ,slave1与slave2系统都为centos 7

3.网络:Vmnet8 为nat类型网络 可想象为现实中的公网地址 可正常访问外网

VMnet1 与 vmnet7 都为仅主机类型的主机 ,可想象为现实中的内网地址,无法访问外网

4.拓扑图如下(sw为交换机)

 

二、前提配置

1. centos 克隆的配置

nmcli con add con-name ens33-static ifname ens33 type ethernet ipv4.addresses 101.101.100.30 ipv4.method manual  
nmcli con up ens33-static

2.centos 7 的配置

nmcli con add con-name ens33-static ifname ens33 type ethernet ipv4.addresses 101.101.100.7 ipv4.method manual
nmcli con up ens33-static
nmcli con add con-name ens37-static ifname ens37 type ethernet ipv4.addresses 101.101.101.7/24 ipv4.gateway 101.101.101.37  ipv4.dns 223.5.5.5 ipv4.method manual
nmcli con up ens37-static

3.slave1的配置

nmcli con modify hadoop ipv4.method manual ipv4.addresses 192.168.18.131/24 ipv4.gateway  192.168.18.2 ipv4.dns  192.168.18.2 connection.autoconnect yes
nmcli con up hadoop
nmcli con add con-name ens37-static ifname ens37 type ethernet ipv4.addresses 101.101.101.37/24 ipv4.method manual
nmcli con up ens37-static

三、需求

1.需求一 在slave1 上使用iptables snat技术 允许 centos7访问intetnet

配置如下

1)slave1 的配置

iptables -t nat -A POSTROUTING -s 101.101.101.0/24 -o ens33 -j SNAT --to-source 192.168.18.131

2)slave1的配置开启路由转发功能

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -w net.ipv4.ip_forward=1

 此时centos7已经可以正常访问外网,但是重启后则不同

注意:在实际的生活中固定的公网地址非常的昂贵,所以1)的配置方法并不完美,而且重启后规则就会失效

3)对需求1的完善(一)

MASQUERADE,地址伪装,算是snat中的一种特例,可以实现自动化的snat。

iptables -t nat -A POSTROUTING -s 101.101.101.0/24 -o ens33 -j MASQUERADE

4)让规则持久化(永久生效)保证重启后规则仍旧存在

yum -y install iptables-services
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables --now

 2.需求二

centos 使用iptables将centos克隆的流量实现snat转换成101.101.101.7 访问internet

1)centos克隆的配置

nmcli con modify ens33-static ipv4.gateway 101.101.100.7 ipv4.dns 8.8.8.8

nmcli con up ens33-static

2)centos7的配置

iptables -t nat -A POSTROUTING -s 101.101.100.0/24 -o ens37 -j MASQUERADE
 echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf 
sysctl -w net.ipv4.ip_forward=1 
yum -y install iptables-services 
iptables-save > /etc/sysconfig/iptables 
systemctl enable iptables --now

 3. 需求三

slave1上使用firewalld实现SNAT允许CentOS7访问Internet

假设在网关,基本ip都已经配置完成的情况下

在 slave1配值即可

firewall-cmd --add-masquerade --permanent
firewall-cmd --reload

说明:

本实验没有采用真实的私网与公网地址

网络知识点

1.私有地址

  • 10.0.0.0~10.255.255.255
  • 172.16.0.0~172.31.255.255
  • 192.168.0.0~192.168.255.255

2.iptables中的“四表五链”及“堵通策略”

A.“四表”是指,iptables的功能——filter, nat, mangle, raw. 

B.“五链”是指内核中控制网络的NetFilter定义的五个规则链,分别为

  • PREROUTING, 路由前
  • INPUT, 数据包流入口
  • FORWARD, 转发管卡
  • OUTPUT, 数据包出口
  • POSTROUTING, 路由后

C.堵通策略是指对数据包所做的操作,一般有两种操作——“通(ACCEPT)”、“堵(DROP)”,

2..iptables命令

  • -t :是指操作的表
  • -A:在所选择的链末添加一条或更多规则。当源(地址)或者/与 目的(地址)转换为多个地址时,这条规则会加到所有可能的地址(组合)后面。 
  • -s:检查报文的源IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
  • -d:检查报文的目标IP地址是否符合此处指定的范围,或是否等于此处给定的地址;
  • -p:匹配报文中的协议,可用值tcp, udp, udplite, icmp, icmpv6,esp, ah, sctp, mh 或者 "all", 亦可以数字格式指明协议;
  • -i:限定报文仅能够从指定的接口流入;
  • -o:限定报文仅能够从指定的接口流出;
  • -j 目标跳转 指定规则的目标;也就是说,如果包匹配应当做什么

BLH2393430755
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux防火墙配置SNAT教程(2)
01-11
1、实验目标     以实验“Linux防火墙配置-SNAT1”为基础,为网关增加外网IP地址,为eth1创建虚拟接口,使外网测试主机在Wireshark中捕获到的地址为eth1虚拟接口的地址   (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ) 2、实验拓扑 3、实验步骤 (1)完成“Linux防火墙配置-SNAT1”实验 (2)为网关增加外网IP地址,为eth1创建5个虚拟接口 [root@lyy 桌面]# gedit /etc/sysconfig/network-scripts/ifcfg-eth1  //打开网卡一 1)修改网卡名称和IP,然后点击“
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 1942
计算机网络SNAT 和 DNAT 的详细配置步骤
Linux之路由转发和SNAT的应用
qq_62462797的博客
09-15 1075
SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。真实环境运用中私网可以通过路由转发,将数据包传送给公网IP地址的服务器,而公网地址无法将相应的数据包回还给私网地址的用户。此时二者之间需要一个媒介,就是一个建立在私网和公网之间的网关服务器,对其之间的数据包进行相应的处理。
Linux防火墙iptables之SNAT与DNAT
weixin_64015933的博客
05-12 541
一、SNAT策略及应用 1.1SNAT策略概述 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理 源地址转换,根据指定条件1修改数据包的源IP地址,通常被叫做源映射。 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 1.2开启SNAT的命令 1.2.1临时打开 echo 1 >/proc/sys/net/ipv4/ip_forward 或 sys
Linux防火墙——SNAT、DNAT
m_j_y0_0的博客
03-22 1473
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
Linux——SNAT与DNAT的应用
cxin1225的博客
05-23 611
DNAT 的全称为Destination Network Address Translation目的地址转换,常用于防火墙中DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问DNAT 应用环境:在Internet中发布位于局域网内的服务器。
Linux 防火墙 SNAT DNAT
低温热源的博客
05-21 653
局域网主机共享单个公网IP地址接入Internet(私有IP地址不能在Internet中正常路由)修改数据包的源地址SNAT可以认为是路由器NAT中的easy ipDNAT可以认为是路由器NAT中的 nat serverSNAT将 内网源地址 转化为网关的公网地址,以避免内网地址无法在公网中传输的情况临时打开IP路由转发永久打开IP路由转发。
LinuxShell】linux防火墙之SNAT策略和DNAT策略
一个萌新的博客
05-22 1072
本文主要介绍了linux防火墙中的两个策略(SNAT、DNAT
Linux防火墙配置SNAT教程(1)
09-15
主要为大家详细介绍了Linux防火墙配置SNAT教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
基于Linux操作系统的SNAT策略.pdf
09-06
基于Linux操作系统的SNAT策略.pdf
Linux防火墙之--SNAT和DNAT
qq_51506982的博客
10-07 1088
当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。firewall-cmd --list-all 查看。firewall-cmd --zone=指定区域。添加,浏览器20.0.0.10即可看到是否成功。2.给网关服务器添加一张虚拟网卡。查看区域内允许通过的服务。web端连接客户端测试。做SNAT的地址转换。
centos7 利用firewalld自建NAT网关
混沌初开
05-14 3592
在传统的网络结构中,每个子网都有一个网关,子网内的主机通过这个网关进行上网,网关进行地址转换,修改IP报文的源地址等,具体的原理有兴趣的百度一下就知道了。在传统机房内几乎都是有路由器的,而路由器也自带网关的功能,基本用不到自建NAT,但是在如今横行的公有云中,却是有着很大的需求,例如阿里云,阿里云内网中没有公网IP的电脑如何通过有公网IP的电脑进行上网,这就需要NAT网关。其他公有云也类似,这里以...
Centos7内网服务器上网SNAT
qq_42869878的博客
04-14 779
环境: 服务器A可以上网:192.168.0.248 服务器不只有内网IP:192.168.0.23 1、 分别centos7上的2台主机上关闭firewad [root@centos7 ~]# systemctl stop firewalld 2、代理(服务器A)上打开内核转发 [root@centos7 ~]# echo 1 >/proc/sys/net/ipv4/ip_forward [root@centos7 ~]# sysctl -p /etc/sysctl.conf #使其生...
Linux--firewalld-NAT地址转换实验(DNAT,SNAT,开启路由转发功能)
CN_TangZheng的博客
12-15 4019
- NAT包含DNAT和SNAT - DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP和目标端口 - SNAT:源地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址
centos7 阿里云专有网络利用firewalld自建NAT网关
夏冬丶王阳旭
11-09 7546
此文章不再更新,查看最新版文章和更多内容: 《Centos7 阿里云专有网络VPC自建NAT网关》 ------------------------------------------ 分隔符------------------------------------------ 在传统的网络结构中,每个子网都有一个网关,子网内的主机通过这个网关进行上网,网关进行地址转换,修改IP报文的源地址...
CentOS-7简易SNAT配置
weixin_33894992的博客
12-12 1969
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux』 第一章 基本操作指令(上)
最新发布
m0_54443558的博客
04-28 983
Linux 基本指令
linux部署snat
05-13
SNAT(Source Network Address Translation)是一种将源IP地址转换为另一个IP地址的技术,通常用于网络地址转换(NAT)中。在Linux中,你可以使用iptables命令来实现SNAT。 以下是在Linux上部署SNAT的步骤: 1. 确认iptables已安装并启动。 2. 打开iptables配置文件,添加SNAT规则。 例如,将IP地址192.168.1.100转换为1.2.3.4: ``` iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to-source 1.2.3.4 ``` 请注意,这个规则只会对源IP地址为192.168.1.100的出站数据包进行SNAT处理,其他数据包不受影响。 3. 保存iptables配置: ``` service iptables save ``` 4. 重新加载iptables: ``` service iptables reload ``` SNAT规则现在已经配置完成并生效了。请注意,这个规则只会对指定的源IP地址进行SNAT处理,如果需要对所有数据包进行SNAT处理,可以使用MASQUERADE规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值