iptables_nat篇(三)

最新推荐文章于 2024-05-14 07:34:16 发布
最新推荐文章于 2024-05-14 07:34:16 发布
阅读量998 收藏
点赞数
文章标签: centos7.1 iptables snat dnat masquerade
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengyuelin/article/details/50709503
版权

target:SNAT,DNAT,MASQUERADE

     互联网是由众多局域网组织连接起来的,但是私网地址不能直接访问互联网,如果每台主机都配置公网地址就不够用了,因此需要用到地址转换功能,有两种情况:

  • 作为服务器端,要接受客户端的请求,而客户端访问的是公网地址,而服务器端是私网地址,于是需要将公网地址转换为对应的私网地址,这就是所谓的DNAT
  • 作为客户端,比如公司内部的局域网内的主机需要访问互联网,就需要通过网关路由出去,除了添加路由,我们可以将这些主机配置的私网地址转换为网关的地址,这就是SNAT
      说明:SNAT和DNAT可以不仅可以针对单个地址做转换,也可以针对连续的地址做转换;并且可以针对端口做nat,但是这些都是静态的ip地址转换,若是以dhcp获取的地址怎么办?此时需要用MASQUREADE来转换,它可以自动识别来源地址自动判断后做转换,也可以做静态ip地址的转换,但是开销比较大,因此,如果是静态地址,不建议使用MASQUREADE方式进行转换

Examples

       目标:模拟一个公网环境和一个私网环境,然后私网通过防火墙的SNAT访问互联网,公网通过防火墙DNAT访问私网主机上的服务
       环境准备:vmware上面准备三台主机,其中第一台(host1)当做防火墙,配置两个网卡,分别连接公网和私网,第二台(host2)作为互联网上的主机,第三台(host3)作为本地局域网内的一台主机,172.16段可以上互联网,192.168不可以上互联网。将其中两个卡做桥接,另外两个卡做vmnet,以达到网络隔离的作用,如图:



HOST1:

 eno16777736 (桥接):172.16.52.10/16  172.16.0.1

         eno33554984(vmnet2) :192.168.1.2/24 

HOST2: 

          eno16777736(桥接) :172.16.52.59/16 172.16.0.1

HOST3:

            eno16777736 (vmnet2) :192.168.1.4/24 192.168.1.2

            将host1的第二章网卡地址作为自己的网关


eg:

host3:

        #ping 192.168.1.2  通

       #ping 172.16.52.10 通  

            由于host1是linux主机,只要是收到ping包,每个网卡都会予以响应,地址是内核的,与网卡无关

       #ping 172.16.52.59  不通

           由于没有开启转发功能,192.168.1.4上没有到172网段的路由,因此不通

解决办法:

host1:

     #iptables -t nat  -A POSTROUTING   -s  192.168.1.0/24  -j  SNAT  --to-source  172.16.52.10

     ///此处做了SNAT源地址转换,主要发生在本地局域网的主机想要通过唯一的路由器主机访问公网,应用在nat表的POSTROUTING链上 ,参数为 --to-source,一般做了SNAT后,回来不用做DNAT,因为它会自动做的,其实是在请求时就生成一个ID号,回来的时候根据这个ID号判断出主机地址,自动做DNAT。

   测试:在host3上面  ping  172.16.52.59 本来是不通的,但是前提是host3上面需要host上第二张网卡的网关,就可以ping通了,还记的上面吗,即使加了网关也是ping不通的,因为没有做nat,但是在host2上面ping 192.168.1.4不通,需要做DNAT,接着往下。。。

host1:

   #iptables -t nat -F 

     ///为了防止其他规则的干扰,将防火墙清空

    #iptables -t nat -A PREROUTING  -d  172.16.52.10   -p  tcp  --dport  22   -j   DNAT  --to-destination  192.168.1.4[:port]

     ///这里做了DNAT,后面的的端口如果省略不写,就表示和前面一样,DNAT表示开放本地的服务给其他网段的主机访问,默认也是自动生成SNAT表

   测试:在 host2上面   ssh  172.16.52.10  ,成功登陆,会发现ifconfig执行结果为  192.168.1.4,说明DNAT成功,不能用ping,因为ping是要经过路由表,这里是NAT只和内核有关,与网关无关,并且还可以通过抓包工具  tcpdump   -i   enoxxxxx    -nn   host  ip   来分析来往的ip地址


MASQUERADE:

    #iptables  -t nat   -A POSTROUTING   -s   192.168.1.0/24    -j  MASQUERADE

   MASQUERADE命令的功能和SNAT一样,不过是解决动态的源地址IP的SNAT问题,测试方法和SNAT一样,并且也可以通过tcpdump来装包分析。虽然比较方便,但是相对于SNAT来说有额外的开销,因此静态地址的转换建议少使用。

  

    

    

       

     


从运维到开发
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Iptables 指南1.1-Oskar Andreasson
05-10
- **nat表**:介绍nat表,主要用于实现网络地址转换。 - **filter表**:详细阐述了filter表的功能,它是iptables中最常用的表之一,用于过滤数据包。 #### 状态机制 - **概述**:简要介绍iptables的状态跟踪机制,...
Linux 2.4 NAT HOWTO.pdf
09-23
《Linux 2.4 NAT HOWTO》是一详细介绍Linux 2.4内核中网络地址转换(Network Address Translation, NAT)技术的文章。随着互联网的发展和个人计算机数量的增加,NAT技术变得尤为重要,特别是在IPv4地址资源逐渐枯竭...
iptablesnat表的学习和实验
北风
01-12 2204
本次实验接着上一博客《iptables之filter表的学习和实验》进行(https://blog.csdn.net/weixin_40042248/article/details/112477946),主要实现iptablesnat表的功能。 实验目标:实现在ns1空间访问其他的外部网址、添加nat规则后对数据抓包分析ns1访问ns2或者ns3的过程、实现ns1访问www.baidu.com。 理论知识补充: 1、什么是NATnat:Network Address Translatin,网
2024年最新[Linux用户空间编程-5]:用IPTable实现NAT功能_iptable nat,看这文章就行了
2401_85013273的博客
05-14 714
netfilter是Linux 核心中一个通用架构,它提供了一系列的"表"(tables),每个表由若干"链"(chains)组成,而每条链中可以有一条或数条规则(rule)组 成。并且系统缺省的**表是"filter"。**因为系统缺省的表是"filter",所以在使用filter功能时,我们没有必要显式的指明"-t filter"。但在使用NAT的时候,我们所使用的表不再是"filter",而是"nat"表,所以我们必须使用**"-t nat**"选项来显式地指明这一点。
Linux之iptablesNAT表)讲解
qq_62311779的博客
06-18 4473
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNATMASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT表: ——查看iptables配置 SNAT(源地址转换):...
Linux之iptablesNAT表)——实验
qq_62311779的博客
06-17 2585
一、SNAT(源地址转换)——实验设备:—— 实现目的:——实验拓扑:——实验配置: (1) windows设置IP地址及网关:(2) 配置linux网关服务器网卡及ip:(3) 配置linux web服务器网卡及ip:(4) Linux网关服务器写入规则:(5)验证:windows访问web服务:二、出现问题及解决 :MASQUERADE(IP伪装)​​​​​​​、DNAT(目标地址转换) ——实验目标:——实验设备:——实验拓扑: ——实验原理:—— Linux 网关服务器配置: (3)
iptables+NAT专题学习(kvm+VMware)
tiging的博客
03-24 5136
iptables基础操作(必学) ## 查看规则 iptables -nL iptables -nL -t nat iptables -nL -v --line-numbers -t filter 表filter带行号带流量数据 iptables -nL --line-numbers 带行号 ## 删除指定表指定链的指定行数据 iptables -t nat -D POSTROUTING 1 iptables -D FORWARD 7 -t filter ## 清空所有规则【...
iptables深入解析-nat
weixin_33893473的博客
08-04 238
关于nat,在实际应用中还是很广泛的,snat/dnat/dmz/等等.下面我们就结合代码深入分析下nat的运作. 参考:iptables.1.4.21 kernel 3.8.13 NAT英文全称是“Network Address Translation” 顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络...
Netfilter学习之NAT类型动态配置(四)nf_nat_core.c源码解析
ty的博客
04-06 4196
  在研究了masquerade的用户空间和内核源码之后,我们发现最后进入了nf_nat_setup_info()函数,该函数位于nf_nat_core.c之中,是Netfilter的NAT表核心函数的实现。 1 nf_nat_core.c源码分析   本小节分析了nf_nat_core的源码,重点分析当Iptables指定的钩子函数激活后,在Netfilter中是如何识别和起作用的。这里...
iptables nat
wjw7869的专栏
05-16 2924
NAT一般情况下分为SNAT,DNAT和PNAT主要讲述的是使用iptables配置NAT,所以这3种NAT的区别和应用场景就简单的说明一下   SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情况
NAT介绍及iptables配置NAT的方法
chuanzhilong的博客
11-10 6528
NAT,网络地址转换,该技术是为了应对IPv4地址耗尽的问题而产生的。他的产生几乎使IPv4起死回生。在IPv4已经被认为行将结束历史使命之后近20年时间里,人们几乎忘了IPv4的地址空间即将耗尽这样一个事实。 IPv4地址的划分 在弄明白NAT的具体功能前,我们先来看一看IPv4地址的划分。 IPv4协议为了路由和管理方便,43亿的地址空间被按照不同前缀长度划分为A,B,C,D
iptables实现NAT
weixin_33787529的博客
10-29 60
摘要:本文是“用iptales实现包过虑型防火墙”的姊妹,主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能。关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是,本文绝对不是NAT-HOWTO的简单重复或是中文版,在整个的叙述过程中,作者都在试图用自己的语言来表达自己的理解,自己的思想。 一、概述 1...
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据中自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据中的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
仿真验证阵列可以提高接收信号信噪比
07-30
这是一份模拟了阵列输入信号及噪声,并验证了相对于阵列接收到的信号,阵列输出信号可以将信噪比提高M倍,其中M为阵列的阵元个数的代码。 代码中可以随意修改阵元个数、阵元间距、波束指向角度、信号频率等。 代码中关键部分均含有文字注释,完全不必担心看不懂。 无论是从仿真波形,还是计算的信噪比结果均能看出阵元数为M的阵列将信号的信噪比提高了M倍。
Iptables入门与深入解析
接下来,章节详细讲解了iptables个核心表:mangle表,nat表,以及filter表。每个表的功能被逐一剖析,比如mangle表用于改变数据包的头部信息,nat表用于网络地址转换,而filter表则负责定义基本的包过滤规则。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值