透明代理和SNAT问题。

最新推荐文章于 2023-03-22 19:54:19 发布
最新推荐文章于 2023-03-22 19:54:19 发布
阅读量489 收藏
点赞数
分类专栏: 透明代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flxzlxb/article/details/102939978
版权

一般在做透明代理时,当代理程序在发起到服务器的连接时,不改变客户机的源IP和源端口,若此时代理机器出口使用了SNAT,则无法建立同服务器的通信。

原因是:

    在客户机同代理程序建立连接后,在系统的conntrack表中建立了无SNAT的会话。而当代理程序同服务器再发起连接时,需要做SNAT,但是按其五元组对conntrack表查询时,会找到无SNAT的会话,导致数据包不走nat表做SNAT策略。

解决方案:

conntrack表有zone的概念,即使相同的五元组可以将其绑定到不同的zone中,使得系统中可以存在相同五元组的会话,通过zone id来区分。

    1、查看内核编译选项CONFIG_NF_CONNTRACK_ZONES是否开启。

    2、设置iptable规则。

            iptables -t raw -A OUTPUT -p tcp --dport 100 -j CT --zone 1

            iptables -t raw -A PRETOUTING -p tcp --sport 100 -j CT --zone 1

          上述两条规则,分别是对出口且目地端口100和入口且源端口为100的tcp数据包使用zone 1进行会话查找。而客户机方向则是出口且源端口100和入口且目地端口100,这里不需要对客户机的数据包进行iptables配置,可以保证当代理程序使用SO_ORIGINAL_DST属性获取真实的服务器IP时,可以在默认zone中查找到。 

 

flxzlxb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
一文了解网络地址转换(NAT
闵行小鱼塘
06-30 4095
本文试图尽可能全面的讲清楚NAT
linux的iptable和iptabes-services一些使用方法
weixin_44207346的博客
03-16 821
分类----------功能 ----------------- 作用链---------------------------------参数。DNAT--------目标地址转换------进口PREROUTING-----------------to-destination。SNAT--------源地址转换---------出口POSTROUTING---------------to-source。4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。
RHEL5.7下的squid服务器配置
weixin_34240520的博客
11-27 84
Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存服务器。Squid有广泛的用途,从作为网页服务器的置cache服务器缓存相关请求来提高Web服务器的速度,到为一组人共享网络资源而缓存万维网,域名系统和其他网络搜索,到通过过滤流量帮助网络安全,到局域网通过代理上网。Squid主要设计用于在Unix和Linu...
iptables 透明网关工作原理
long_chuanren的专栏
03-30 565
提供访问的blog地址:http://blog.chinaunix.net/u2/62738/showart_495302.html 很详细的IPTABLES:http://blog.chinaunix.net/u2/66903/showart_1802022.html    一,iptables主要的三条链:filter∶主要跟 Linux 本机有关,是预设的 table       * ...
Linux防火墙——SNAT、DNAT
m_j_y0_0的博客
03-22 1520
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
linux snat 源端口冲突,Nova-network中发现的一个SNAT问题
weixin_39671467的博客
05-01 402
网络环境网络设置采用的是单网络节点、flatDHCP,br100(ip:10.61.2.12)桥接到eth0作为flat interface,fixed_range=10.0.0.0/24,eth1(ip:10.61.5.1)作为public interface, floating_range=10.61.5.128/25,另有eth3(ip:10.17.20.254)连接到网络10.17.20....
搭建SNAT
10-17
SNAT搭建过程 !
VMware之SNAT与DNAT.docx
01-03
VMware之SNAT与DNAT
透明代理服务器搭建(linux搭建squid代理
02-20
透明代理服务器搭建(Linux 搭建 Squid 代理透明代理服务器是一种特殊的代理服务器,它可以在不需要客户端进行任何...通过以上步骤,我们可以成功搭建一个 Squid 透明代理服务器,以实现网络流量管理和安全性控制。
SNAT的搭建
10-17
详见阐述了SNAT搭建的实验步骤,每一步都有截图,详情见Word
Linux透明代理 —— 使用iptables实现TCP透明代理nat方式,一个客户端对应一个服务器)
热门推荐
杰儿__er 的博客
02-22 2万+
目录: 1、什么是透明代理? 2、透明代理的作用? 2.1 TCP代理服务器可以隐藏背后真正TCP服务器 2.2 保护TCP服务器免受应用层以下级别的协议栈攻击 2.3 TCP转址机 3、socket透明代理的实现原理? 4、在实现TCP代理服务器时,遵循以下几点原则 5、应用背景 6、关键技术? 7、如何建立透明代理? 7.1 Tcp透明代理实现的中心思想 7.2 搭建环...
透明代理NAT
向往天空的鱼
10-15 4848
透明代理的实现目实现的方式有NAT和TPROXY两种方式。此次我们借助iptables的nat表的规则对数据包进行重定向。具体配置及步骤如下。 试验环境 将试验环境的配置如下: 名称 IP地址 网关设置 客户端 192.168.200.184 192.168.200.111 代理服务器 192.168.200.111 192.168.200.1(内网真实网关IP) 服务器 172.16.9.66 ...
SNAT原理
Dadit的博客
07-13 3430
SNAT 策略及应用 • SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址 SNAT 策略概述 随着internet网络的快速发展,IPv4可支持的可用IP地址资源逐渐匮乏,大部分企业面临着局域网内的主机接入internet的需求,从而通过SNAT策略来解决局域网共享上网的问题,可得以缓解。而解决IPv4地址匮乏的是 (IPv6) 工作原
网工排错日记:一台服务器同时做NAT SERVER、SNAT,后者不生效
weixin_44799797的博客
01-28 2937
发现问题问题分析NAT SERVER的no-reverse 发现问题 偶然碰到个问题,内网中存在一台服务器,针对于内网用户在防火墙做了一个NAT SERVER,映射成了内网的某个IP,现在服务器新增连接外网的需求,但做了SNAT以后,服务器无法上内网 环境拓扑如下: 简单说明下,设服务器IP为A,在FW处通过nat server映射成了B(内网IP),FW的WAN口IP为C(公网IP),在FW上通过SNAT将A映射成C后,服务器无法连通外网 问题分析 1、SNAT配置没有问题,且服务器能正常访问内网,服.
【学习笔记】SNAT & DNAT
知寒
05-13 1304
SNAT & DNAT 在计算机网络中,数据包如何发送是根据目标IP进行路由的。如果同一个网络中出现两个相同的IP,则ARP表会出现混乱,数据包发送到哪台主机上将变成不确定性,那怎么解决这个问题?答案很明显,就是让数据包从路由器发出去的时候变成不同的IP地址不就可以了。这个技术叫源地址转换技术,我们称之为SNAT。 为了简化模型,我们还是先假设路由器的WAN口接
linux iptables nf_conntrack 简介
whatday的专栏
01-02 2996
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
一个复杂的nf_conntrack实例全景解析
Netfilter
10-28 1万+
本文关注两点,一点是细节,另外一点是概览: 细节:一个完整的关于nf_conntrack和NAT互动的例子 概览:关于人云亦云的讽刺 近期搜集了一些关于iptables,NAT相关的问题,其中最令人觉得麻烦的还是nf_conntrack相关的东西,比如它和NAT的关系,它和state match的关系,它的Helper机制怎么使用等等。  因此决定写一篇随笔来一个情景分析,也是方便自己终有一天遗忘了
make xconfig详解
Linux Android Web
03-05 1万+
http://blog.csdn.net/yanshuai_tek/article/details/50902817 make menuconfig 图形化的内核配置 make mrproper 删除不必要的文件和目录 make oldconfig 如果只想在原来内核配置的基础上修改一些小地方,会省去不少麻烦 make config 基于文本的最为传统的配置界面,不推
iptables的DNAT和SNAT
最新发布
05-24
iptables是一个用于Linux操作系统的防火墙软件,DNAT和SNAT是其中两个重要的功能: DNAT(Destination NAT)用于将目标地址或端口转换为另一个地址或端口,通常用于将公网IP映射到内网IP,从而实现内网服务器对外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值