iptables防火墙之SNAT与DNAT

已于 2024-03-19 14:19:04 修改
阅读量1.1k 收藏 12
点赞数 6
文章标签: 网络 服务器 运维
于 2024-03-19 14:15:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gfbcdgbb/article/details/136737709
版权
本文详细介绍了SNAT(源地址转换)和DNAT(目标地址转换)在网络环境中的应用,涉及工作原理、转换条件、命令行操作以及DNAT和SNAT的示例配置。还涵盖了规则备份与还原的方法,以及如何设置和管理iptables防火墙规则。
摘要由CSDN通过智能技术生成

目录

一.SNAT:

1、SNAT策略概述

SNAT策略的典型应用环境

SNAT策略的原理

2、SNAT工作原理

3、SNAT转换前提条件

4、开启SNAT命令

5、SNAT转换

6、SNAT示例

6.1配置网关服务器

二、DNAT

1、DNAT策略的典型应用环境

2、DNAT策略的原理

3、DNAT转换条件

 4、DNAT转换

 5、DNAT示例

三、规则的备份与还原

1、备份

2、还原

3、设置自己想要的规则

一.SNAT:

1、SNAT策略概述

SNAT策略的典型应用环境

局域网主机共享单个公网IP地址接入Internet

SNAT策略的原理

源地址转换,Source Network Address Translation
修改数据包的源地址

2、SNAT工作原理

数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP

当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP

3、SNAT转换前提条件

局域网各主机已正确设置IP地址、子网掩码、默认网关地址
Linux网关开启IP路由转发

4、开启SNAT命令

临时打开

echo 1 > /proc/sys/net/ipv4/ip_forward
或者
sysctl -w net.ipv4.ip_forward=1

永久打开

vim /etc/ sysctl. conf
net. ipv4.ip_ forward=1  #将此行写入配置文件
 
sysctl -p			   #读取修改后的配置

5、SNAT转换

iptables -t nat -A POSTROUTING -s 192.168.52.0/24 -o ens33 -i SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.52.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
										内网IP		出站 外网网卡						外网IP或地址池

6、SNAT示例

6.1配置网关服务器

1、添加一张外网网卡网段为12.0.0.0/24

查看真机的网段与 虚拟机所设网段是否一致

 2、配置内网网卡ens33

[root@localhost ~]# systemctl stop firewalld.service 
[root@localhost ~]# setenforce 0
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33

3、配置外网网卡ens36

[root@localhost ~]# cd /etc/sysconfig/network-scripts 
[root@localhost network-scripts]# ifconfig
[root@localhost network-scripts]# cp ifcfg-ens33 ifcfg-ens36
[root@localhost network-scripts]# vim ifcfg-ens36

4、重启服务

[root@localhost network-scripts]# systemctl restart network
[root@localhost network-scripts]# ifconfig

二、DNAT

1、DNAT策略的典型应用环境

  • 在lnternet中发布位于企业局域网内的服务器

2、DNAT策略的原理

  • 目标地址转换,Destination Network Address Translation
  • 修改数据包的目标地址

3、DNAT转换条件

  • 局域网的服务器能够访问Internet
  • 网关的外网地址有正确的DNS解析记录
  • Linux网关开启IP路由转发
vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1 
sysct1 -p

 4、DNAT转换

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.192.11
iptables -t nat -A PREROUTING -i ens33 -d   12.0.0.1 -p tcp --dport 80    -j DNAT --to 192.168.192.11:8080
            表        链         入站网卡    外网来的数据包的自的IP和目的端口  通过DNAT转换为内网的IP和端口 
                                                                                                                             
外网2.0.0.1:80 ----DNAT-—->192.168.192.11:8080

 5、DNAT示例

三、规则的备份与还原

1、备份

默认备份文件 /etc/sysconfig/iptables

重定向

2、还原

3、设置自己想要的规则

重定向输入到默认配置文件当中
[root@localhost sysconfig]#iptables-save >/etc/sysconfig/iptables      
 
重启防火墙
[root@localhost sysconfig]#systemctl stop iptables
[root@localhost sysconfig]#systemctl start iptables
 
查看规则
[root@localhost sysconfig]#iptables -nL
[root@localhost sysconfig]#iptables -nL -t nat

河马的学习日记
关注
防火墙中的SNAT 与DNAT
2301_81307988的博客
03-13 1016
总结起来,这条规则的效果是:所有发往公网IP地址12.0.0.254且目标端口为80的TCP数据包,在到达本地主机并准备转发到内部网络之前,其目标IP地址都会被转换成192.168.68.4。随后,在虚拟机上面的外网服务器去curl一下12.0.0.1,curl12.0.0.1出现的是内网服务器的网页内容,表明去连外网网关,就等于访问内网服务器。目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射。
SNAT和DNAT
m0_64651064的博客
02-24 3803
目录 一、SNAT策略及应用 1、SNAT策略的典型应用环境 2、SNAT策略的原理 3.具体实施步骤 二、DNAT策略及应用 1.DNAT原理与应用: 2.DNAT转换前提条件: 一、SNAT策略及应用 1、SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet 2、SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 SNAT原理与应用 SNAT应用环境;局域
SNAT 与 DNAT
最新发布
weixin_40888105的博客
09-12 79
本文为博主原创,转载请注明出处:   SNAT(Source Network Address Translation,源网络地址转换)和DNAT(Destination Network Address Translation,目标网络地址转换)是网络地址转换(NAT)中的两种重要技术,它们在实现内部网络与外部网络之间的通信中发挥着关键作用。以下是对这两种技术的详细解释和它们的主要用途: ...
防火墙(二)SNAT和DNAT
weixin_34228617的博客
07-03 253
防火墙(一)主机型防火墙  DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映谢。  SNAT内网访问 外网客户端ip地址 网关指向server的eth0 网卡server的2块网卡ip地址server0的网卡ip地...
SNAT与DNAT
热门推荐
TTSuzuka的博客
11-02 1万+
局域网共享一个公网IP接入lnternel,好处如下保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被攻击的可能。Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT。省钱,公网地址付费,使用SNAT只需要一个公网ip就可以满足几百人同时上网。向internel发布内网服务器,在内网中有服务器,如果想让公网用户访问有有两种方法。
iptables防火墙 (SNAT、DNAT
Y_S_J_112的博客
09-25 1740
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)局域网共享上网未作SNAT转换时的情况进行SNAT转换后的情况。
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2915
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器iptables规则 小知识扩展 DNAT策略与应用
iptables之SNAT与DNAT
weixin_56270746的博客
05-16 1979
一、SNAT策略及应用 1、SNAT策略概述 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发送数据 Linux网关开启IP路由转发 1.2、开启SNAT命令 Linux系统本身是没有转发功能 只有路由发送数据 临时开启 echo 1 >/proc/s
iptables实现网络防火墙(二)——SNAT与DNAT
Eumenides_s的博客
10-23 882
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看 LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。    在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的
防火墙之SNAT和DNAT
FYR1018的博客
05-10 1757
1 SNAT 原理与应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
ensp防火墙snat和dnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNAT和DNAT配置示例: SNAT配置: 1. 将内部IP地址192.168.1.100转换为外部IP地址202.101.1.100: ``` iptables -t nat -A POSTROUTING -s 192.168.1.100 -j SNAT --to-source 202.101.1.100 ``` 2. 将所有内部IP地址转换为外部IP地址: ``` iptables -t nat -A POSTROUTING -j SNAT --to-source 202.101.1.100 ``` DNAT配置: 1. 将外部IP地址202.101.1.100的流量转发到内部IP地址192.168.1.100: ``` iptables -t nat -A PREROUTING -d 202.101.1.100 -j DNAT --to-destination 192.168.1.100 ``` 2. 将外部IP地址202.101.1.100的80端口流量转发到内部IP地址192.168.1.100的8080端口: ``` iptables -t nat -A PREROUTING -p tcp -d 202.101.1.100 --dport 80 -j DNAT --to-destination 192.168.1.100:8080 ``` 这些是基本的SNAT和DNAT配置示例,具体配置取决于你的网络需求和防火墙规则。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值