firewalld的路由转发功能(snat和dnat)

已于 2022-08-29 21:48:00 修改
阅读量2.4k 收藏 4
点赞数 1
分类专栏: firewalld 文章标签: 运维 linux
于 2022-05-02 17:25:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coastline98/article/details/124542345
版权

因为自己在配置时出现一些莫名其妙的问题,如ping不通,路由转发不成功等;

环境准备:3台主机,提前下载好httpd服务

关闭防火墙systemctl stop firewalld

setenforce 0

systemctl status firewall 确认为dead

getenforce 查看确认为disabled

        1.主机1:提前下载好httpd,配置网卡为仅主机模式

认为该主机是内网主机

在实际生产工作中大部分看到的ip地址一般只到网段,这部分即可确认地区城市,具体地址类似于个人的门牌号,一般不会显示出来

网卡配置ip不再赘述,自行查看本机的vmnet1对应网段,我的是192.168.20.1

网卡配置:(认为该主机是内网主机,DNS可写可不写)ip地址只写到网段即可,

TYPE=Ethernet

NAME=网卡名

DEVICE=网卡名

ONBOOT=yes

BOOTPROTO=static

IPADDR=192.168.20.1

GATEWAY=192.168.20.1

NETMASK=255.255.255.0

配置完成后重启网卡:systemctl restart network

        2.主机2:两张网卡,均为仅主机模式(该主机不用事先下载httpd),该主机做理由转发功能

网卡配置1:

TYPE=Ethernet

NAME=网卡名1

DEVICE=网卡名1

ONBOOT=yes

BOOTPROTO=static

IPADDR=192.168.20.2

GATEWAY=192.168.20.2

NETMASK=255.255.255.0

网卡配置2:

TYPE=Ethernet

NAME=网卡名1

DEVICE=网卡名1

ONBOOT=yes

BOOTPROTO=static

IPADDR:172.16.10.1

GATEWAY=172.16.10.1

NETMASK=255.255.255.0

配置完成后重启网卡:systemctl restart network

        3.主机3:提前下载好httpd服务,网卡为仅主机模式

认为该主机是外网主机

网卡配置:

TYPE=Ethernet

NAME=网卡名1

DEVICE=网卡名1

ONBOOT=yes

BOOTPROTO=static

IPADDR:172.16.10.2

GATEWAY=172.16.10.1

NETMASK=255.255.255.0

配置完成后重启网卡:systemctl restart network

注:主机3的网卡网关(GATEWAY)要指向路由转发主机的网段

        4.在主机1测试ping172.16.10.2是否ok

        5.在主机3测试ping192.168.20.1是否ok

主机2没有开启路由转发功能默认第4步和第5步是100%丢包

        6.在主机2开启路由转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward (此种方式为临时配置,因防火墙工作于内核中,内核工作于内存中,所以会导致重启失效)

永久有效方案

编辑配置文件/etc/sysctl.con加入net.ipv4.ip_forward = 1 

sysctl -p 返回ip_forward=1

        7.开启路由转发功能后,再次测试第4步和第5步

        8.在主机2做策略:

iptables -t nat -A POSTROUTING -s 192.168.20.1 -d 172.16.10.2 -j SNAT --to-source 172.16.10.1

iptables -t nat -A PREROUTING -s 172.16.10.2 -d 192.168.20.1 -p tcp  -j DNAT  --to-destination 192.168.20.2 

        9.在主机3执行动态监测日志文件命令

tail -f /var/log/httpd/access_log

        10.在主机1执行命令

curl 172.16.10.2

        11.在主机3查看路由转发功能是否实现,此时在主机3的日志显示经主机2路由转发功能转换后的ip访问

到第11步完成内网主机1经过主机2实现路由转发功能访问外网主机3(内网ip通过postrouting链,也就是SNAT)

        12.在主机1执行监测文件命令

tail -f /var/log/httpd/access_log

        13.在主机3执行访问

curl 192.168.20.1

到第13步完成 外网主机3经过主机2实现路由转发功能访问内网主机1(外网ip通过prerouting链,也就是DNAT)

        firewalld的SNAT与DNAT难点

1.实现路由转发功能过程中互相之间不通信,主要原因

        网卡配置问题,关键点在于网关之间的一个通信,再次细化就是网关的指向问题

        也可route add;具体用法可自行查询

2.SNAT与DNAT之间混淆,不清楚实现路由转发的链

简而言之为:内访外POSTROUTING链SNAT;外访内PREROUTING链DNAT

3.--dport与--sport目标端口与源端口

主要为分清谁访问谁,端口号

4.--to-source与--to-destination

可理解为主机2的中间人,关键点为--to-source时为主机2的外网ip;--to-destination为主机2的内网ip

Lih Inner Mongolia
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇
m0_47219942的博客
08-02 3761
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇前言一:NAT实验1.1:实验环境1.2:实验目的1.3:实验分析图1.4::实验步骤1.4.1:linux防火墙1.4.2:web虚拟机配置1.4.3:客户机配置1.5:实验结果1.6:实验总结 前言 NAT包含DNAT和SNAT DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一
3.7 linux中火墙的策略优化
WHDCCDJA的博客
08-12 277
什么是防火墙? 防火墙是位于内部网和外部网之间的屏障,其作用是保护服务器安全。
CentOS 7.0防火墙Firewalld和服务相关配置
04-19
CentOS 7.0防火墙Firewalld和服务相关配置。CentOS 7.0防火墙Firewalld和服务相关配置CentOS 7.0防火墙Firewalld和服务相关配置CentOS 7.0防火墙Firewalld和服务相关配置CentOS 7.0防火墙Firewalld和服务相关配置
iptables中的SNAT、DNATFirewalld
最新发布
hy199707的博客
03-05 695
在网络世界中,IP地址就如同现实世界中的门牌号码,它为数据包指明了方向。然而,在某些情况下,出于安全、资源优化或网络拓扑的需要,我们必须对这些“门牌号码”进行变换。这就涉及到了网络地址转换(Network Address Translation, NAT)技术,而在Linux环境中,实现NAT功能的主要工具就是iptables。本文将深入探讨iptables中的两种核心NAT类型——源网络地址转换(Source Network Address Translation, SNAT)和目标网络地址转换(Dest
iptables和firewalld.pdf
11-30
很详细的iptables和firewalld
linux firewalld开启端口
12-23
CentOS升级到7之后,无法使用iptables控制Linuxs的端口,查找资料后发现Centos 7用firewalld代替了原来的iptables。
Firewalld http api管理接口
09-17
基于centos firewalld dbus接口管理http api firewalld规则 支持mac ipv4 ipv6 规则自动过期 使用说明见文档
Linuxfirewalld防火墙基础
欲买桂花同载酒
05-22 1317
Linuxfirewalld防火墙基础,内含基础怎删改查命令行介绍,以及图文讲解,命令行演示图片
firewalld防火墙详细介绍
A1100886的博客
05-22 4304
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙firewalld和iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能firewalld提供了支持网络区域所定义的网络连接以及接口安全等级的动态防火墙管理工具。
iptables防火墙之SNAT、DNATfirewalld防火墙
2303_79207100的博客
10-07 534
SNAT:源地址转换DNAT:目的地址转换核心:通过iptables进行地址转换SNAT内网→外网:改变源地址DNAT外网→内网:改变目的地址(重要)linux系统能抓包吗?可以。使用linux系统自带的抓包工具tcpdump来抓包抓包方式:1、指定抓包的数量tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个2、动态抓包。
使用iptable和Firewalld工具来管理Linux防火墙连接规则
09-15
今天小编就为大家分享一篇关于使用iptable和Firewalld工具来管理Linux防火墙连接规则的文章,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
LinuxFirewalld防火墙
h15162064289的博客
05-30 1031
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。trusted (信任区域)允许所有的传入流量public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域external (外部区域)允许与 ssh 预定义服务匹配的传入流量,其余均拒绝home (家庭区域。
Firewalld的常见操作总结
beeworkshop的博客
09-22 1424
1. 防火墙的基本概念 传统防火墙的基本理念构建于区域之上。区域是网络接口的集合,归入区域的网络接口上承载的流量具有相同的安全级别。我们说把相同安全级别的设备划入一个区域,就是把连接这些设备的接口归入一个区域。不同区域之间构成了网路边界。我们称这个网络边界为“域间”。防火墙主要就是通过区域间的规则——域间规则,来进行访问控制。所以防火墙实际本质上是根据区域的划分和域间规则的构建来进行流量的访问控制...
linux系统之网络防火墙(firewalld服务和iptables服务)
Mangke的博客
12-06 2038
linux系统之网络安全 防火墙
SNAT和DNAT原理应用
renjian21的博客
07-15 309
SNAT和DNAT原理应用 一、 SNAT原理的应用 1.1 原因环境和原理 SNAT 应用环境∶局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理∶修改数据包的源地址。 SNAT转换前提条件∶ 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 1.2 开启SNAT的命令 1.临时打开∶ echo 1 >/proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.
iptables防火墙之SNAT与DNAT
weixin_45305723的博客
05-01 2192
1、SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 2、SNAT工作原理 数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP 当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP 3、SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linu
Linux--firewalld-NAT地址转换实验(DNAT,SNAT,开启路由转发功能
CN_TangZheng的博客
12-15 4046
- NAT包含DNAT和SNAT - DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP和目标端口 - SNAT:源地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址
Linuxfirewalld火墙策略
Rainable
03-25 331
1. 防火墙介绍 netfilter iptables iptables|firewalld 2. 火墙管理工具切换 在rhel8中默认使用的是firewalld firewalld----->iptables 安装iptables dnf install iptables-services -y 停止firewalld systemctl sto...
Linux firewalld内网如何配置SNAT
06-10
Linux系统中,firewalld也可以实现SNAT。具体操作步骤如下: 1. 编辑firewalld配置文件/etc/firewalld/direct.xml,添加SNAT规则。例如: ```xml <?xml version="1.0" encoding="utf-8"?> <direct> <rule ipv="ipv4" table="nat" chain="POSTROUTING" priority="0">-s 192.168.1.0/24 -j SNAT --to-source 公网IP地址</rule> </direct> ``` 其中,192.168.1.0/24是内网地址段,公网IP地址是要转换成的地址。 2. 重载firewalld规则: ``` # firewall-cmd --reload ``` 3. 配置IP转发,在/etc/sysctl.conf中添加以下内容: ``` net.ipv4.ip_forward = 1 ``` 执行以下命令使配置生效: ``` # sysctl -p ``` 4. 检查SNAT规则是否生效: ``` # iptables -t nat -L -n ``` 如果规则生效,则可以看到类似下面的输出: ``` Chain POSTROUTING (policy ACCEPT) target prot opt source destination SNAT all -- 192.168.1.0/24 0.0.0.0/0 to: 公网IP地址 ``` 注意,firewalld规则是临时生效的,如果需要永久生效,需要将规则保存到配置文件中。 以上就是在Linux系统中使用firewalld配置SNAT的基本步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值