企业级测试环境网络规划搭建(NAT表+PREROUTING链)DNAT实战

已于 2023-11-07 09:23:00 修改
阅读量162 收藏
点赞数
分类专栏: Linux系统相关 文章标签: 网络 部署 虚拟机
于 2023-09-26 14:10:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eighters/article/details/133307362
版权

目录

前言:

目的:

环境描述:

网段说明:

功能描述:

路由拓扑:

配置方面:

GatewayConfig

1.持久化修改主机名

2.配置IP

2.1修改IP

2.2重启网络

3.配置路由

3.1开启路由转发

3.2添加内网回指路由

4.防火墙设置

4.1安装iptables

4.2设置开启自启动

4.3防火墙文件中插入NAT规则

4.4重启iptables

RouteConfig

1.配置IP

1.1添加三块网卡

1.2重启网络

2.开启路由转发

3.路由表示例:

测试:

1.访问百度

2.MobaXterm访问

前言:

1.一般情况下,做linux方面的事情时,需要搭建各种各样的系统,可能会面临linux、windows、DNS等等不同功能的服务

2.只有一个可访问公网的IP

3.避免网络杂乱无章,如果是网安产品串联模式下,可规避网络风暴的危险

目的:

通过划分不同私网网段,实现不同的业务功能,配置一个可访问公网的IP在防火墙上,使所有连接防火墙的设备都可以使用统一的公网出口IP进行对外访问

环境描述:

两台cento0s7.6系统

[root@gateway ~]# cat /etc/os-release
NAME="CentOS Linux"
VERSION="7 (Core)"
ID="centos"
ID_LIKE="rhel fedora"
VERSION_ID="7"
PRETTY_NAME="CentOS Linux 7 (Core)"
ANSI_COLOR="0;31"
CPE_NAME="cpe:/o:centos:centos:7"
HOME_URL="https://www.centos.org/"
BUG_REPORT_URL="https://bugs.centos.org/"

CENTOS_MANTISBT_PROJECT="CentOS-7"
CENTOS_MANTISBT_PROJECT_VERSION="7"
REDHAT_SUPPORT_PRODUCT="centos"
REDHAT_SUPPORT_PRODUCT_VERSION="7"

Windows 10

UOS-1020a

网段说明:

172.16.0.0:Server Management     Gateway:172.16.254.1         Netmask:255.255.255.0

172.17.0.0:Business Interface       Gateway:172.17.254.1         Netmask:255.255.255.0

172.18.0.0:Client Management      Gateway:172.18.254.1         Netmask:255.255.255.0

功能描述:

Centos7.6服务器:一台作为Gateway,一台作为Route
Windows 10 x86服务器:作为客户端访问程序服务的web页面使用

UOS-1020a服务器:作为搭建产品服务使用

路由拓扑:

配置方面:

GatewayConfig

1.持久化修改主机名
vi /etc/hostname
2.配置IP
2.1修改IP

配置一个公网IP

vim /etc/sysconfig/network-scripts/ifcfg-ens192

配置一个私网IP

vim /etc/sysconfig/network-scripts/ifcfg-ens224

注意:此网卡不需要配置网关,作用是给路由器的管理口充当网关

2.2重启网络
systemctl restart network
3.配置路由
3.1开启路由转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p
3.2添加内网回指路由
ip route add 172.17.0.0/16 via 172.16.254.1 dev ens224
ip route add 172.18.0.0/16 via 172.16.254.1 dev ens224


永久添加

新建文件,实现路由持久化

4.防火墙设置
4.1安装iptables
yum -y install iptables iptables-services

4.2设置开启自启动
systemctl enable iptables
4.3防火墙文件中插入NAT规则

参考如下,将私网IP172.16.254.1的22端口映射到公网IP1.1.1.1的10020端口:

-A PREROUTING -d 1.11.1 -p tcp -m tcp --dport 10020 -j DNAT --to-destination 172.16.254.1:22

4.4重启iptables

重启iptables服务持久化NAT规则

systemctl restart iptables

可使用:iptables -t nat -S查看当前防火墙规则

              iptables -t nat -F清空所有规则

RouteConfig

1.配置IP
1.1添加三块网卡

分别为管理端、客户端、业务端各自配置好IP
172.17.254.1     ———>不需要指定网关
172.16.254.1     ———>指定网关172.16.0.1(防火墙上的私网网卡)
172.18.254.1     ———>不需要指定网关

1.2重启网络
systemctl restart network

网卡配置截图示例:

2.开启路由转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

sysctl -p

3.路由表示例:

所有ip的默认路由出口是172.16.0.1(管理网卡),指向了防火墙的172.16.0.1的私网网卡

测试:

1.访问百度

规划后的私网IP可以访问统一出口网关并且可访问百度

2.MobaXterm访问

使用统一公网IP,不同端口达到访问不同机器的目的:

访问公网的10017端口会进入到私网172.16.0.17的这台机器上

蜗牛其实也很努力
关注
专栏目录
企业级负载均衡lvs集群——基础概念[3种工作模式+10种调度算法 ]
weixin_43936969的博客
02-21 475
文章目录一、负载均衡LVS相关概念1、LB集群2、LVS的概念3、 LVS的三种模式4、LVS负载均衡的10种调度算法 一、负载均衡LVS相关概念 1、LB集群 LB集群:load balance集群的简写,中文即为负载均衡集群。 常用的负载均衡开源软件:nginx(TCPIP协议七层应用层),lvs(TCPIP协议四层传输层),haproxy,varnish; 商业的硬件负载均衡设备:F5、N...
PREROUTING 和 POSTROUTING, SNAT 和 DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
PREROUTING 和 POSTROUTING, SNAT 和 DNAT 剖析
Criss_Leung的专栏
09-15 5235
位置: PREROUTING 和 POSTROUTING是位于NAT中的两条数据中转NATNAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的
iptables nat 原理(SNAT和DNATNAT之二)
bingyu的博客
05-09 3131
iptables nat 原理 同filter一样,nat也有三条缺省的""(chains): PREROUTING:目的DNAT规则 把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。 因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT; 系统先PREROUTING DNAT翻译——>再过滤(FORWARD)——&...
Iptables 最佳实践 !
u014389734的博客
11-22 192
考虑一种网络拓扑应用情景,一个内部局域网中有多台服务器提供不同的服务,如web服务、FTP服务、ssh、telnet等,通过服务器(或网关、防火墙)连接外部网络,如果外部网络上的主机需要访问这些服务器,则需要在网关上实现转发。 再转述成另一种应用场合,多台设备连接到一台服务器,服务器有2个网卡,分别连接内外网。外网无法直接访问设备上的数据、服务。在服务器上实现转发后,则可达到目的。 网络拓扑如下: 比如,可以通过服务器的8081端口访问1号设备的web服务,8082端口访问2号设备web,这样可以在外
构建企业的多分支网络,你可以有这些选择
最新发布
syscloud123的博客
05-15 459
为企业构建稳定、灵活的网络,是企业IT人员非常重要的基础工作之一。对于多分支企业而言,总部与各分支之间需要进行数据互联和监管,所以大多面临组网需求。多分支企业组网是指企业总部与分公司、工厂、门店等多点之间的网络组建,不仅仅限于总部与分公司之间,多门店、多工厂也是常见的总分支组网场景。在规划组网架构时,基于企业对网络具体需求的不同,及预算的多少,可以采用专线、VPN或SD-WAN等不同的组网技术。
NAT+Squid配置
10-07
总之,NAT与Squid在Linux下的配置不仅能够优化网络性能,还能增强网络安全性,是企业级网络架构设计中不可或缺的一部分。通过对NAT规则和Squid配置的精心调整,可以实现高效、安全且灵活的网络访问控制。
NAT配置与管理实战
NAT的工作原理是通过在路由器或防火墙设备上维护一张地址转换,将内部IP地址和端口映射到公共IP地址和端口上,实现内部主机与外部网络的通信。 #### 1.3 NAT的作用和优势 NAT的主要作用是隐藏内部网络结构,增强...
网络地址转换(NAT)与端口映射
网络地址转换(Network Address Translation,NAT)是一种在计算机网络中使用的技术,用于将私有网络内部的IP地址转换为公共网络IP地址,或者反向转换。NAT通常被用于家庭路由器、企业防火墙等设备上,以实现多个...
使用iptables进行网络地址转换(NAT
# 1. 介绍 ## 1.1 什么是网络地址转换(NAT)...而在企业或家庭内部网络中,可能会有多台设备需要连接到公网上,但又无需每个设备都拥有一个公网IP地址。这时候,NAT技术就可以派上用场,它可以将多个私有网络设备的IP
企业网三层架构实验
weixin_53308294的博客
07-25 2512
文章目录一.题目分析1.确定技术的顺序2.地址规划二.实验步骤1.搭建实验拓扑2.创建eth-trunk使两个物理接口逻辑成一个3.做trunk干道4.VLAN的创建和划分(1)创建(2)接口划入5.STP(1)配置stp(2)sw1和sw2之间互相备份:(3)调stp的边缘接口,因为这两个接口连接着两个电脑:6.启动SVI7.VRRP7.启用DHCP 题目: 一.题目分析 1.确定技术的顺序 学习三层交换机的时候因为很多技术是相对独立且繁琐的,所以容易学混且不知道怎么下手。所以当我们拿到这道实验题的时候
基于OSPF技术的某企业网络设计(完整文档+ENSP拓扑图)
qq1325513482的博客
07-14 1万+
主要对网络规划与设计,以企业网络为背景,对某个中型企业网络进行规划设计,该企业总部在南京,在常州有一个分公司,需要实现总部和分公司能够访问外网,能够让分公司内的用户或主机访问总部服务器的资源,并且保证数据的安全性。在这次总部企业网络设计中,考虑到资金的问题,核心层部署2台核心三层交换机,负责转发总部内部用户的流量,并充当内部用户网关,能够实现内部不同网段的用户之间的连通性。对于一些对网络比较敏感的企业或用户,对网络的要求较高,对于网络的稳定性和安全性也有较高的要求。
网络工程生产实习——构建中小型企业网(eNSP)
夏佳怡的博客
12-12 3万+
应急管理大学网络工程专业生产实习,搭建中小型企业网
内网环境搭建-下
xnxqwzy的博客
08-21 982
在上篇文章中,我们已经搭建好了父域控制器以及辅域控制器,并添加了一些域用户以及域机器,在本篇文章中将继续介绍子域控制器的搭建以及两个林间该怎么建立林信任关系。
论:如何设计一个完整的互联网企业网络架构--初级篇2
u012196306的博客
04-16 676
D类和E类为一些特殊子网,很少用到,就不在阐述了;VLAN中文名称叫虚拟局域网,在早期网络技术发展阶段是没有VLAN的概念的,全部都是同一网段子网进行通信,因为早期的时候互联的设备没那么多,而且业务需求规划也比较单一,所以使用同一子网进行通信时没有问题 ,但是随着业务需求不断的发展,发现一个子网已经无法满足业务需求了,特别是多业务的场景,无法进行业务隔离,容易出现地址冲突等,基于这个需求IEEE组织于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。
基于华为eNSP的企业网络规划
m0_48609250的博客
07-21 3万+
假设某大型公司总部在北京、在重庆设置分部,总部和分部均有研发部、市场部、财务部等部门,现在要求进行网络规划与设计,实现分部和总部能够进行网络连通。同时考虑为了数据安全是否应用VPN,DNS等技术。......
计算机网络课程设计——中小型网络工程设计与实现
Sukiugg的博客
07-19 2万+
一、课程设计内容 实施背景: 为某企业构建一个高性能、安全可靠的网络。 该企业主要包括三个建筑:行政楼、销售部、生产厂区。中心机房设在行政楼。 应当对外提供WWW服务、对内提供文件传输服务、内外均可访问的Email服务。 行政楼上的用户约120人,分成若干部门(假设为5个),不同部门的用户可能处在不同楼层,每一层可能有不同的部门用户。要求部门之间内部可以相互通信,不同部门之间保持一定独立性...
论:如何设计一个完整的互联网企业网络架构--初级篇3
u012196306的博客
04-22 1112
本篇为初级篇中的最终章,纯实验环境,小伙伴们可以跟着一起做实验,可以更加深刻的理解前面的知识点。
构建企业分支网络
傻傻的心动的博客
09-11 561
本论文以学校企业网络互连互通为项目背景,网络规模较小,本论文案例中应用的网络技术相对简单,读者容易上手。本论文案例中路由技术包括静态路由、单臂路由以及RIPv2等相关内容;交换技术包括VLAN、Trunk以及SVI (交换机虚拟接口)配置等相关内容;网络安全及网络管理技术包括特权密码、口令加密、Telnet (远程终端协议)以及SSH (安全外壳协议) 等相关内容;网络服务包括WEB、DNS、DHCP以及TFTP等相关内容;WAN技术包括NAT网络地址转换)和GREVPN等相关内容。通过学习本论文案例,
nat的PREROUTING和POSTROUTING分别代什么
05-15
在Linux中,NAT网络地址转换(Network Address Translation),用于实现IP地址和端口号的转换。NAT中包含三个:PREROUTING、POSTROUTING和OUTPUT。 PREROUTING是在数据包进入路由之前处理的,用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值