两次DNAT(端口映射)的问题验证

已于 2024-05-07 09:20:02 修改
阅读量831 收藏 1
点赞数 26
分类专栏: Linux 文章标签: Linux 数通 容器 安全
于 2024-05-07 09:18:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i12344/article/details/121601758
版权
文章讲述了作者在Linux课程中遇到关于两次DNAT可能导致TCP源丢失的问题,通过ensp路由器模拟和EVE模拟器测试发现两次DNAT实际上是可以正常工作的。此外,还介绍了如何在iptables和firewalld中实现DNAT的永久配置。
摘要由CSDN通过智能技术生成

1.问题描述

某Linux课程上看到,两次DNAT(端口映射)会导致TCP源丢失的问题,因为本身学过网络相关的知识,理论上并未发现会在哪个节点丢失源的问题,遂实验验证。

2.ensp模拟验证

因为使用手头没有eve模拟器,先使用ensp路由器模拟验证,拓扑如下图


路由器配置nat server
命令如下:
R1

[R1]int g0/0/1	
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 172.16.12.1 8081

R2

[R2]int g0/0/1	
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8081 inside 172.16.13.2 80

经过测试,发现两次DNAT(端口映射,华为称为nat server)后,依然可以正常访问,并不会出现TCP连接无法建立的情况。
为进一步验证,于是搭建eve模拟器环境用liunx进行测试。

3.eve模拟器centos测试

网络拓扑如下图


配置命令如下:
GW1

iptables -t NAT -A PREROUTING -d 101.163.9.102 -p tcp --dport=55023 -j DNAT --to-destination 172.16.12.1:54023

stream1

iptables -t NAT -A PREROUTING -d 172.16.12.1 -p txp --dport=54023 -j DNAT --to-destination 172.16.13.2:22

打开Linux的路由转发功能

sysctl -w net.ipv4.ip_forward=1
#永久生效
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

经过测试也是可以访问的,最终验证两次DNAT(端口映射)是没有问题的

4.补充

  • 以上iptables操作都是临时的,重启后会丢失,永久生效配置如下 
     
 

yum -y install iptables-services
 iptables-save > /etc/sysconfig/iptables
 systemctl enable iptables.service --now
 #查看命令
 iptables -t nat -L -n
 

- firewalld配置DNAT
```bash
firewalld-cmd --add-forward-port=port=55023:proto=tcp:toport=54023:toaddr=172.16.12.1 --per
firewalld-cmd --reload

                

        

        

    




    

      

        

            

              
                
                  马立杰
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    26
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
linux 添加udp端口映射,iptables下udp端口转发

				
			

			

				

					weixin_39819283的博客
				

				

					05-04
					
					1710
					
				

			

		

		

			
				
KVM下新建虚拟机,为了节省公网IP地址,将公网IP配在了物理主机上,内部的虚拟机通过nat端口映射来共用公网IP。由于平时像tomcat、nginx等应用都是监听的tcp端口 ,一般在iptables做映射时只需一条目的地址转换就OK了。今天突然一位开发的同事使用的公网上的一台测试机需要udp端口映射 。本以为也像tcp一样,只需要将命令中的tcp改为udp就OK了,增加后却发现无效。具体如下一...

			
		

	



                

              
                



	

		

			

				
					
Linux 或 Windows 上实现端口映射.docx

				
			

			

				

					11-09
				

			

		

		

			
				
* 设置端口映射:iptables -t nat -A PREROUTING -p tcp -m tcp --dport [外网端口] -j DNAT --to-destination [内网地址]:[内网端口]  在实验中,我们使用 VMware Workstation Pro 创建了一个实验环境,包括 Server...

			
		

	



                


  
              

                


	

		

			

				
					
两次DNAT端口映射)的问题验证_openeuler迁移说明

					
最新发布

				
			

			

				

					2401_84972726的博客
				

				

					05-13
					
					221
					
				

			

		

		

			
				
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

			
		

	





	

		

			

				
					
docker容器启动后添加端口映射

				
			

			

				

					qq_30013585的博客
				

				

					04-27
					
					2712
					
				

			

		

		

			
				
1、PREROUTING链
# 1.1 查看NAT表中的PREROUTING链
sudo iptables -t nat --list-rules PREROUTING
![在这里插入图片描述](https://img-blog.csdnimg.cn/20210427094309143.png)




			
		

	



		

			
		



	

		

			

				
					
linux网关端口映射,如何通过具有Iptables的Linux网关转发端口映射

				
			

			

				

					weixin_42365586的博客
				

				

					04-30
					
					344
					
				

			

		

		

			
				
NAT或网络地址转换是用于处理数据包以便将其重定向到备用地址的通用术语。通常,这用于允许流量超越网络边界。实现NAT的主机通常可以访问两个或多个网络,并配置为在它们之间路由流量。端口转发是将对特定端口的请求转发到另一个主机,网络或端口的过程。由于此过程在运行中修改了数据包的目的地,因此被认为是NAT操作的一种。在本指南中,我们将演示如何iptables使用NAT技术将端口转发到防火墙后面的主机。如...

			
		

	





	

		

			

				
					
Linux端口映射转发的方法

				
			

			

				

					09-15
				

			

		

		

			
				
总之,掌握Linux端口映射转发技术对于解决网络通信中的各种问题非常有用。它不仅可以帮助开发者绕过访问限制,还能在某些场景下提高系统的安全性。因此,深入学习和理解Linux网络配置及工具对于IT从业者来说至关重要...

			
		

	





	

		

			

				
					
什么是端口映射端口映射基础知识介绍.docx

				
			

			

				

					09-27
				

			

		

		

			
				
端口映射的定义可以分为两种:动态端口映射和静态端口映射。  动态端口映射是指在 NAT 网关上,对每个连接都分配一个临时的端口号。例如,内网中的设备要访问外网的某个网站,NAT 网关会将内网设备的 IP 地址和端口...

			
		

	





	

		

			

				
					
pynat:纯 Python 中的异步 DNAT 端口转发

				
			

			

				

					07-20
				

			

		

		

			
				
皮纳特纯 Python 中的 DNAT 端口转发异步(使用非阻塞库) 没有依赖与 PyPy 兼容用例您需要将端口从执行机器转发到另一台主机例如,您想通过 Web 服务器临时将 SSH 转发到 NAT 主机您的应用程序是多进程的,不能保证...

			
		

	





	

		

			

				
					
docker 动态映射运行的container端口实例详解

				
			

			

				

					01-11
				

			

		

		

			
				
docker动态映射运行的container端口,最近做项目,对于docker动态映射运行的container端口的资料有必要记录下,以便以后在用到,  Docker自带了EXPOSE命令,可以通过编写dockerfile加-p参数方便的映射Container内部...

			
		

	





	

		

			

				
					
Nextcloud打开缓慢\卡顿的一些优化

					
热门推荐

				
			

			

				

					更多内容查看博客描述。
				

				

					07-31
					
					1万+
					
				

			

		

		

			
				
有些朋友问道我关于Nextcloud优化的问题,基本上就是新装NC后缓慢,打开网页一卡一卡的

##

这次就单独提出来,详细说说,本文环境为CentOS 7 + 宝塔,root用户权限,实际命令请根据实际情况修改

官方文档

NC的官方文档其实写的很详细了,本文也是基于这个文档来操作的,最新版(18)也新增了一些优化选项,建议阅读

https://docs.nextcloud.com/server/18/admin_manual/installation/server_tuning.html

开始


			
		

	





	

		

			

				
					
centos+docker的Calibre-web 个人图书库搭建

				
			

			

				

					更多内容查看博客描述。
				

				

					12-20
					
					5287
					
				

			

		

		

			
				
下载镜像


docker pull linuxserver/calibre-web

创建容器


docker create \
   --name=calibre-web \
   -e PUID=1000 \
   -e PGID=1000 \
   -e TZ=Europe/London \
   -p 8088:8083 \
   -e DOCKER_MODS=linuxserve...

			
		

	





	

		

			

				
					
宝塔面板下nextcloud完美优化配置

				
			

			

				

					更多内容查看博客描述。
				

				

					07-31
					
					5151
					
				

			

		

		

			
				
宝塔面板下nextcloud完美优化配置



一、性能优化



Nextcloud由于各种原因,默认安装后,任何页面加载时间都过于缓慢。之前的文章有介绍到使用PHP的APCu模块以提升缓存性能,这里再介绍使用Memcached提高Nextcloud的性能。

Nextcloud支持多个不同类型的缓存后端,所以可以同时启用本地缓存(APCu)和分布式缓存(Memcached、Redis),官方推荐的组合是APCu+Redis


分布式缓存选择Memcached、Redis其中一种启用即可,无需两者都..

			
		

	





	

		

			

				
					
Linux中的grep命令详解

				
			

			

				

					更多内容查看博客描述。
				

				

					04-19
					
					2151
					
				

			

		

		

			
				
全拼:Global search REgular expression and Print out the line作用:文本搜索工具,根据用户指定的“模式(过滤条件)”对目标文本逐行进行匹配检查,打印匹配到的行模式:由正则表达式的元字符及文本字符所编写出的过滤条件grep命令是Linux系统中最重要的命令之一,功能是从文本文件或管道数据流中筛选匹配的行和数据,如果再配合正则表达式,功能十分强大,是Linux运维人员必备的命令。

			
		

	





	

		

			

				
					
Linux xfs_growfs命令在 CentOS/RHEL 中扩展 XFS 文件系统

				
			

			

				

					更多内容查看博客描述。
				

				

					04-21
					
					1902
					
				

			

		

		

			
				
命令增加 XFS 文件系统的大小。在我们扩展 XFS 文件系统之前,我们需要扩展底层 LVM 卷。出于本文的目的,我们将使用一个新的 PV 来扩展 LV。选项实际上并没有延伸XFS文件系统,但只是打印当前的文件系统的详细信息。1. 您可以使用“xfs_info”命令查看 XFS 卷详细信息,如下所示。正如您在上面的输出中看到的,/data 挂载点大小已从 500MB 增加到 ~36GB。4. 使用“lvresize”命令将逻辑卷扩展到所需的大小。在“df -h”命令输出中验证 XFS 文件系统的新大小。

			
		

	





	

		

			

				
					
yum安装时提示:This system is not registered with an entitlement server. You can use subscription-manager

				
			

			

				

					更多内容查看博客描述。
				

				

					04-23
					
					1618
					
				

			

		

		

			
				
Red Hat Subscription Manager订阅管理器,它会让你一直register,禁用就好。每次yum调用(不禁掉plugins的情况下),都会更新此文件。停止掉该插件的使用,在配置文件中把enable=0即可。

			
		

	





	

		

			

				
					
Linux查看僵尸进程

				
			

			

				

					更多内容查看博客描述。
				

				

					04-22
					
					1136
					
				

			

		

		

			
				
使用命令ps -A -ostat,ppid,pid,cmd |grep -e ‘^[Zz]’定位僵尸进程以及该僵尸进程的父进程。使用Kill -HUP 僵尸进程ID来杀死僵尸进程,往往此种情况无法杀死僵尸进程,此时就需要杀死僵尸进程的父进程。-o 自定义输出字段 stat(状态)、ppid(进程父id)、pid(进程id)、cmd(命令)使用Top命令查找,当zombie前的数量不为0时,即系统内存在相应数量的僵尸进程。因为状态为z或者Z的进程为僵尸进程,所以我们使用grep抓取stat状态为zZ进程。

			
		

	





	

		

			

				
					
firewall-cmd 富规则 rich-rule

				
			

			

				

					更多内容查看博客描述。
				

				

					05-02
					
					1039
					
				

			

		

		

			
				
至于使用DROP还是REJECT更合适一直未有定论,因为的确二者都有适用的场合。因为DROP虽然单方面的中断了连接,但是并不返回任何拒绝信息,因此连接客户端将被动的等到tcp session超时才能判断连接是否成功,这样早企业内部网络中会有一些问题,例如某些客户端程序或应用需要IDENT协议支持(TCP Port 113, RFC 1413),如果防火墙未经通知的应用了DROP规则的话,所有的同类连接都会失败,并且由于超时时间,将导致难以判断是由于防火墙引起的问题还是网络设备/线路 故障。

			
		

	





	

		

			

				
					
openwrt端口映射工具

				
			

			

				

					06-02
				

			

		

		

			
				
用户可以使用iptables命令来添加端口映射规则,例如:sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80。  3. UPnP: UPnP是一种自动端口映射技术,可以让应用程序...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
马立杰

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值