透明代理和SNAT问题。

最新推荐文章于 2023-03-22 19:54:19 发布
最新推荐文章于 2023-03-22 19:54:19 发布
阅读量489 收藏
点赞数
分类专栏: 透明代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flxzlxb/article/details/102939978
版权

一般在做透明代理时,当代理程序在发起到服务器的连接时,不改变客户机的源IP和源端口,若此时代理机器出口使用了SNAT,则无法建立同服务器的通信。

原因是:

    在客户机同代理程序建立连接后,在系统的conntrack表中建立了无SNAT的会话。而当代理程序同服务器再发起连接时,需要做SNAT,但是按其五元组对conntrack表查询时,会找到无SNAT的会话,导致数据包不走nat表做SNAT策略。

解决方案:

conntrack表有zone的概念,即使相同的五元组可以将其绑定到不同的zone中,使得系统中可以存在相同五元组的会话,通过zone id来区分。

    1、查看内核编译选项CONFIG_NF_CONNTRACK_ZONES是否开启。

    2、设置iptable规则。

            iptables -t raw -A OUTPUT -p tcp --dport 100 -j CT --zone 1

            iptables -t raw -A PRETOUTING -p tcp --sport 100 -j CT --zone 1

          上述两条规则,分别是对出口且目地端口100和入口且源端口为100的tcp数据包使用zone 1进行会话查找。而客户机方向则是出口且源端口100和入口且目地端口100,这里不需要对客户机的数据包进行iptables配置,可以保证当代理程序使用SO_ORIGINAL_DST属性获取真实的服务器IP时,可以在默认zone中查找到。 

 

flxzlxb
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
路由NAT代理的区别
07-28
让你了解这个路由NAT代理的区别是怎么样的,详解
linux snat 源端口冲突,Nova-network中发现的一个SNAT问题
weixin_39671467的博客
05-01 403
网络环境网络设置采用的是单网络节点、flatDHCP,br100(ip:10.61.2.12)桥接到eth0作为flat interface,fixed_range=10.0.0.0/24,eth1(ip:10.61.5.1)作为public interface, floating_range=10.61.5.128/25,另有eth3(ip:10.17.20.254)连接到网络10.17.20....
SNAT原理
Dadit的博客
07-13 3444
SNAT 策略及应用 • SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址 SNAT 策略概述 随着internet网络的快速发展,IPv4可支持的可用IP地址资源逐渐匮乏,大部分企业面临着局域网内的主机接入internet的需求,从而通过SNAT策略来解决局域网共享上网的问题,可得以缓解。而解决IPv4地址匮乏的是 (IPv6) 工作原
tcp透明代理 linux(c语言)
railgun010032的博客
05-08 3641
一个使用c编写的tcp透明代理1.为啥要做2.透明代理的实现3.源码4.编译5.输出6.引申需要的系统配置参考文章 1.为啥要做 一个需求,需要SMB的代理来监查上传内容进行管控。查遍了,没找到。最后找到了一个c++的tcpproxy,需要指定目的ip后,和服务器连接后才监听端口。也就是说,客户端只能连接到一个服务器,并且需要连接到指定的ip(代理的ip)才能连接服务器。 2.透明代理的实现 需要配置iptables或防火墙的nat转发!!!!! 直接百度,大部分是http的透明代理,使用icap协议包装h
简单的HTTP代理服务器c++语言实现
11-19
简单实现HTTP代理服务器,上传的是vs工程文件,代码简单,仅一个源文件
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
搭建SNAT
10-17
SNAT搭建过程 !
VMware之SNAT与DNAT.docx
01-03
VMware之SNAT与DNAT
透明代理服务器搭建(linux搭建squid代理
02-20
透明代理服务器搭建(Linux 搭建 Squid 代理透明代理服务器是一种特殊的代理服务器,它可以在不需要客户端进行任何...通过以上步骤,我们可以成功搭建一个 Squid 透明代理服务器,以实现网络流量管理和安全性控制。
SNAT的搭建
10-17
详见阐述了SNAT搭建的实验步骤,每一步都有截图,详情见Word
一种云平台中的透明代理技术实现
关山岂止万千重
01-31 1760
在Web云平台中,web服务器往往会随着应用负载或者故障而动态伸缩,而web服务器上的业务程序(比如C/C++ CGI,PHP,JSP等)往往会调用多个层次的服务,有些服务的访问,是需要基于IP地址预先授权的,否则无法正常调用。为了解决由于web服务器动态伸缩带来的访问未授权问题,一个简单可行的方法是在中间加一个代理层,让代理层服务器事先申请获得授权,这样web服务器就能通过代理服务器顺利调用这些
透明代理和反向代理
Sherry_Rui的专栏
10-27 4043
透明代理和反向代理 传统网络: 透明代理:                                                 实现机制:划分Vlan 反向代理: 实现机制: 配置DNS解析以及WAF中配置防护Web服务器的NAT   SDN环境下: 透明代理和反向代
网工排错日记:一台服务器同时做NAT SERVER、SNAT,后者不生效
weixin_44799797的博客
01-28 2937
发现问题问题分析NAT SERVER的no-reverse 发现问题 偶然碰到个问题,内网中存在一台服务器,针对于内网用户在防火墙做了一个NAT SERVER,映射成了内网的某个IP,现在服务器新增连接外网的需求,但做了SNAT以后,服务器无法上内网 环境拓扑如下: 简单说明下,设服务器IP为A,在FW处通过nat server映射成了B(内网IP),FW的WAN口IP为C(公网IP),在FW上通过SNAT将A映射成C后,服务器无法连通外网 问题分析 1、SNAT配置没有问题,且服务器能正常访问内网,服.
正向代理、反向代理透明代理和CDN
weixin_33889245的博客
05-22 139
##正向代理(Forward Proxy)-代理代理的是客户端 一般情况下,如果没有特别说明,代理技术默认说的是正向代理技术。关于正向代理的概念如下: 正向代理(forward)是一个位于客户端【用户A】和原始服务器(origin server)【服务器B】之间的服务器【代理服务器Z】,为了从原始服务器取得内容,用户A向代理服务器Z发送一个请求并指定目标(服务器B),然后代理服务器Z向服务器B转...
Linux防火墙——SNAT、DNAT
m_j_y0_0的博客
03-22 1522
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
linux的iptable和iptabes-services一些使用方法
weixin_44207346的博客
03-16 826
分类----------功能 ----------------- 作用链---------------------------------参数。DNAT--------目标地址转换------进口PREROUTING-----------------to-destination。SNAT--------源地址转换---------出口POSTROUTING---------------to-source。4、防火墙的默认规则是对应链的所有的规则执行完以后才会执行的(最后执行的规则)。
iptables 透明网关工作原理
long_chuanren的专栏
03-30 568
提供访问的blog地址:http://blog.chinaunix.net/u2/62738/showart_495302.html 很详细的IPTABLES:http://blog.chinaunix.net/u2/66903/showart_1802022.html    一,iptables主要的三条链:filter∶主要跟 Linux 本机有关,是预设的 table       * ...
Linux透明代理 —— 使用iptables实现TCP透明代理nat方式,一个客户端对应一个服务器)
热门推荐
杰儿__er 的博客
02-22 2万+
目录: 1、什么是透明代理? 2、透明代理的作用? 2.1 TCP代理服务器可以隐藏背后真正TCP服务器 2.2 保护TCP服务器免受应用层以下级别的协议栈攻击 2.3 TCP转址机 3、socket透明代理的实现原理? 4、在实现TCP代理服务器时,遵循以下几点原则 5、应用背景 6、关键技术? 7、如何建立透明代理? 7.1 Tcp透明代理实现的中心思想 7.2 搭建环...
【学习笔记】SNAT & DNAT
知寒
05-13 1319
SNAT & DNAT 在计算机网络中,数据包如何发送是根据目标IP进行路由的。如果同一个网络中出现两个相同的IP,则ARP表会出现混乱,数据包发送到哪台主机上将变成不确定性,那怎么解决这个问题?答案很明显,就是让数据包从路由器发出去的时候变成不同的IP地址不就可以了。这个技术叫源地址转换技术,我们称之为SNAT。 为了简化模型,我们还是先假设路由器的WAN口接
iptables的DNAT和SNAT
最新发布
05-24
iptables是一个用于Linux操作系统的防火墙软件,DNAT和SNAT是其中两个重要的功能: DNAT(Destination NAT)用于将目标地址或端口转换为另一个地址或端口,通常用于将公网IP映射到内网IP,从而实现内网服务器对外服务的功能。 SNAT(Source NAT)用于将源地址或端口转换为另一个地址或端口,通常用于将内网IP映射到公网IP,从而实现内网主机访问公网资源的功能。 使用iptables的DNAT和SNAT功能需要先了解iptables的规则链、表和匹配规则等相关概念。其中,DNAT通常在PREROUTING或OUTPUT规则链中使用,而SNAT通常在POSTROUTING规则链中使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值