计算机网络 day9 DNAT实验

已于 2023-07-17 20:12:53 修改
阅读量2.4k 收藏
点赞数
文章标签: 计算机网络 服务器 网络
于 2023-07-17 18:32:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lpfstudy/article/details/131761098
版权

目录

DNAT

DNAT策略的典型应用环境

DNAT策略的原理

在网关中使用DNAT策略发布内网服务器

DNAT实验:

实验环境:

DNAT网络规划拓扑图:

步骤:

1、创建linux客户端Web网站(go语言),实现Web服务器

1.1、下载go语言Web端代码

1.2、下载代码后传输到你的linux客户机上去

1.3、解压apiserver.tar.gz文件,并执行Web程序

1.4、测试Web服务器的效果(通过网关服务器来进行)

​编辑2、配置DNAT策略

2.1、准备工作

2.2、修改firewall网关服务器的姓名:

2.3、写DNS脚本

2.4、执行脚本

3、测试效果

4、使用dokcer上的nginx服务替代go语言程序

4.1、docker安装下载,制作docker镜像:(120条消息) docker容器的介绍和安装 - 镜像安装_docket容器_Claylpf的博客-CSDN博客

4.1、访问nginx镜像

如何当我们访问firewall网关服务器的其他端口(假设是80端口)也能映射访问到我们的linux客户机的8000端口

DNAT

DNAT(Destination Network Address Translation)是一种NAT的实现方式,也被称为目的地址转换(Destination NAT)。它在传输层对IP数据包进行修改,将目的IP地址改为内部网络中的设备IP地址,从而实现外部网络可以通过公共IP地址访问内部网络中的设备。DNAT通常用于实现服务器对外提供服务的功能,例如将公共IP地址映射到内部网络中的Web服务器上,从而外部用户可以通过公共IP地址访问Web服务器。

DNAT策略的典型应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

目标地址转换,Destination Network Address Translation

修改数据包的目标IP地址

在网关中使用DNAT策略发布内网服务器

DNAT实验:

实验环境:

        准备2台集群:一台做局域网里的客户机(Web服务器)(1个网卡),一台做firewall网关服务器(路由器)

        所有的虚拟机的网卡模式选择桥接模式(客户机可以选择仅主机模式)

DNAT网络规划拓扑图:

步骤:

1、创建linux客户端Web网站(go语言),实现Web服务器

1.1、下载go语言Web端代码

go语言网站代码提取:

链接:https://pan.baidu.com/s/1QSulTw3P_lrp7RCHbHjhow?pwd=byp5 
提取码:byp5

1.2、下载代码后传输到你的linux客户机上去

方式一(假设你的linux服务器没有联网,但是你的firewall网关服务器联网了)

先传输到网关服务器上去,再在网关服务器上使用scp命令传输给linux客户机

[root@nginx-lb1 ~]# scp apiserver.tar.gz 192.168.80.1:/root
The authenticity of host '192.168.80.1 (192.168.80.1)' can't be established.
ECDSA key fingerprint is SHA256:qFVcuGn/dPQWyNfiYIe376RJ2CZIyFnKFobW/2VQljo.
ECDSA key fingerprint is MD5:59:df:c1:dd:8d:c0:0a:a8:50:e5:15:b0:9f:2a:16:ff.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.80.1' (ECDSA) to the list of known hosts.
root@192.168.80.1's password: 
apiserver.tar.gz                                                                                                                                           100% 5121KB  73.9MB/s   00:00    
[root@nginx-lb1 ~]#

方式二(联网的情况下)

使用xftp上传apiserver.tar.gz到linux服务器里 或者 使用lrzsz传输

yum  install lrzsz  -y

rz : 接收从windows机器里上传文件到linux机器  receive
sz: 接收从linux系统里发送文件到windows  sent/send

[root@goweb ~]# rz     
然后选择需要上传的文件的路径
1.3、解压apiserver.tar.gz文件,并执行Web程序
[root@goweb ~]# mkdir /myweb
[root@goweb ~]# mv apiserver.tar.gz /myweb/
[root@goweb ~]# cd /myweb/
[root@goweb myweb]# ls
apiserver.tar.gz
[root@goweb myweb]# 
[root@goweb myweb]# tar xf  apiserver.tar.gz  解压
[root@goweb myweb]# ls
apiserver  apiserver.tar.gz
[root@goweb myweb]# cd apiserver 进入解压后的文件夹
[root@goweb apiserver]# ls
go.mod  go.sum  handler  main.go  router  scweb
[root@goweb apiserver]# 

#scweb 是使用go语言编写的简单的web服务器软件

[root@goweb apiserver]# ./scweb   执行scweb二进制程序
vim-go
[GIN-debug] [WARNING] Creating an Engine instance with the Logger and Recovery middleware already attached.

[GIN-debug] [WARNING] Running in "debug" mode. Switch to "release" mode in production.
 - using env:	export GIN_MODE=release
 - using code:	gin.SetMode(gin.ReleaseMode)

[GIN-debug] GET    /                         --> apiserver/router.home (3 handlers)
[GIN-debug] GET    /sd/health                --> apiserver/handler/sd.HealthCheck (3 handlers)
[GIN-debug] GET    /sd/disk                  --> apiserver/handler/sd.DiskCheck (3 handlers)
[GIN-debug] [WARNING] You trusted all proxies, this is NOT safe. We recommend you to set a value.
Please check https://pkg.go.dev/github.com/gin-gonic/gin#readme-don-t-trust-all-proxies for details.
[GIN-debug] Listening and serving HTTP on 0.0.0.0:8000

scweb服务器会监听8000端口
1.4、测试Web服务器的效果(通过网关服务器来进行)
[root@nginx-lb1 ~]# curl 192.168.80.1:8000
hello,三创人 nice 2022[root@nginx-lb1 ~]# 

#curl  是linux系统里的字符界面的浏览器
#也可以使用其他图形界面的浏览器去访问


2、配置DNAT策略

2.1、准备工作

1、局域网的Web服务器正确设置了IP地址/子网掩码/DNS服务器

2、局域网的Web服务器正确设置了默认网关地址

3、创建Web框架,并确保Web服务已经在Web服务器上运行了

在linux网关服务器(防火墙)上操作

2.2、修改firewall网关服务器的姓名:
[root@prom-server ~]# hostnamectl  set-hostname  router
[root@prom-server ~]# su - root
su - root
上一次登录:一 7月 17 11:53:14 CST 2023从 192.168.2.134pts/0 上
[root@router ~]#
2.3、写DNS脚本
[root@nginx-lb1 nat]# cat snat_dnat.sh 
#!/bin/bash

#开启路由功能
echo 1 > /proc/sys/net/ipv4/ip_forward

#清除防火墙规则
iptables -F
iptables -F -t nat

#添加SNAT策略的防火墙规则
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 192.168.2.77

#添加DNAT策略的防火墙规则
iptables -t nat  -A PREROUTING   -d 192.168.2.77 -i ens33  -p tcp  --dport 8000  -j DNAT  --to-destination 192.168.80.1
[root@nginx-lb1 nat]#
2.4、执行脚本
[root@router nat]# bash snat_dnat.sh 
Redirecting to /bin/systemctl stop firewalld.service
[root@router nat]# 

查看iptables是否生效

[root@nginx-lb1 nat]# iptables -L -t nat -n
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            192.168.2.77         tcp dpt:8000 to:192.168.80.1

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  192.168.80.0/24      0.0.0.0/0            to:192.168.2.77
[root@nginx-lb1 nat]#

3、测试效果

使用浏览器访问linux网关服务器wan口的地址和8000端口
    http://192.168.2.77:8000

4、使用dokcer上的nginx服务替代go语言程序

4.1、docker安装下载,制作docker镜像:(120条消息) docker容器的介绍和安装 - 镜像安装_docket容器_Claylpf的博客-CSDN博客
[root@claylpf apiserver]# docker pull nginx
Using default tag: latest
latest: Pulling from library/nginx
faef57eae888: Pull complete 
76579e9ed380: Pull complete 
cf707e233955: Pull complete 
91bb7937700d: Pull complete 
4b962717ba55: Pull complete 
f46d7b05649a: Pull complete 
103501419a0a: Pull complete 
Digest: sha256:08bc36ad52474e528cc1ea3426b5e3f4bad8a130318e3140d6cfe29c8892c7ef
Status: Downloaded newer image for nginx:latest
docker.io/library/nginx:latest
[root@claylpf apiserver]# dokcer images
bash: dokcer: command not found...
Similar command is: 'docker'
[root@claylpf apiserver]# docker images
REPOSITORY   TAG       IMAGE ID       CREATED       SIZE
nginx        latest    021283c8eb95   12 days ago   187MB
[root@claylpf apiserver]# docker run -d -p 8000:80 --name cly-nginx nginx
a3e47da286fd588c51297374480ee842942781e4752e488e2626e69143db4d92
[root@claylpf apiserver]# docker ps
CONTAINER ID   IMAGE     COMMAND                  CREATED         STATUS         PORTS                                   NAMES
a3e47da286fd   nginx     "/docker-entrypoint.…"   6 seconds ago   Up 5 seconds   0.0.0.0:8000->80/tcp, :::8000->80/tcp   cly-nginx
[root@claylpf apiserver]#
4.1、访问nginx镜像

如何当我们访问firewall网关服务器的其他端口(假设是80端口)也能映射访问到我们的linux客户机的8000端口

如下拓扑图就很生动的展示了我们的IP包通过firewall网关服务器的时候,IP包内的目的地址发生了改变,还有TCP段的端口也发生了改变。

#通过访问192.168.1.254:8000端口 访问到 192.168.2.80的8000端口
iptables -t nat  -A PREROUTING   -d 192.168.1.254 -i ens33  -p tcp  --dport 8000  -j DNAT  --to-destination 192.168.2.80


#通过访问192.168.1.254的80端口 访问到 192.168.2.80的8000端口
iptables -t nat  -A PREROUTING   -d 192.168.1.254 -i ens33  -p tcp  --dport 80  -j DNAT  --to-destination 192.168.2.80:8000

可以浅显的理解为:当我们使用Windows上的浏览器想要访问我们的A客户机的Web服务的时候,我们需要访问浏览器的http://192.168.2.1:80,可知我们访问的正是firewall网关服务器WAN口的IP地址和端口80,而我们的firewall网关服务器会帮助我们修改IP包中的:

  1. 目标 IP 地址(Destination IP Address):防火墙网关服务器会将数据包的目标 IP 地址(原来是firewall网关服务器的WAN口的IP地址,也就是192.168.2.1)修改为内网服务器(linux客户机)的 IP 地址(192.168.1.1),以实现数据包的转发到内网(局域网)。

  2. 目标端口号(Destination Port):如果进行端口映射,防火墙网关服务器可以将数据包的目标端口号(原来是firewall的网关服务器的80端口)修改为内网服务器(linux客户机)上相应服务的监听端口(我们开启的监听端口为8000端口),以确保数据包能够正确地被内网服务器接收。

Claylpf
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇
m0_47219942的博客
08-02 3836
LInux--firewalld{NAT地址转换实验(SNAT和DNAT以及路由转发功能)},防火墙必看篇前言一:NAT实验1.1:实验环境1.2:实验目的1.3:实验分析图1.4::实验步骤1.4.1:linux防火墙1.4.2:web虚拟机配置1.4.3:客户机配置1.5:实验结果1.6:实验总结 前言 NAT包含DNAT和SNAT DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一
firewalld常用的基础配置
宇飞林海的博客
10-18 1199
区域作用trusted(信任区域)允许所有的传入流量。public(公共区域)允许与ssh或dhcpv6-client预定义服务匹配的传入流量,其余均拒绝。是新添加网络接口的默认区域。external(外部区域)允许与ssh预定义服务匹配的传入流量其余均拒绝。home(家庭区域)允许与ssh、mdns、samba-client或dhcpv6-client预定义服务匹配的传入流量,其他均拒绝。internal(内部区域)默认值与home区域相同。work(工作区域)
Linux系统中的火墙策略——firewalld
qq_45225437的博客
03-24 385
文章目录一、开启服务二、关于firewalld的域三、设定原理及数据存储四、管理命令五、高级规则六、NAT1. SNAT2. DNAT 一、开启服务 通常情况下,在系统中默认firewalld的自动开启的 当系统开启iptables,从iptables切换到firewalld: 二、关于firewalld的域 域 含义 trusted 接收所有的网络连接 home 用于家庭...
iptables中的SNAT、DNATFirewalld
最新发布
hy199707的博客
03-05 911
网络世界中,IP地址就如同现实世界中的门牌号码,它为数据包指明了方向。然而,在某些情况下,出于安全、资源优化或网络拓扑的需要,我们必须对这些“门牌号码”进行变换。这就涉及到了网络地址转换(Network Address Translation, NAT)技术,而在Linux环境中,实现NAT功能的主要工具就是iptables。本文将深入探讨iptables中的两种核心NAT类型——源网络地址转换(Source Network Address Translation, SNAT)和目标网络地址转换(Dest
iptables防火墙之SNAT、DNATfirewalld防火墙
2303_79207100的博客
10-07 878
SNAT:源地址转换DNAT:目的地址转换核心:通过iptables进行地址转换SNAT内网→外网:改变源地址DNAT外网→内网:改变目的地址(重要)linux系统能抓包吗?可以。使用linux系统自带的抓包工具tcpdump来抓包抓包方式:1、指定抓包的数量tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个2、动态抓包。
计算机网络实验.rar
05-20
计算机网络实验是IT教育中的重要组成部分,它涵盖了网络基础理论与实际操作的结合,帮助学生深入理解网络原理并提升实践技能。在这个名为“计算机网络实验.rar”的压缩包中,包含了全面的实验指导材料和实验报告,...
VMware之SNAT与DNAT.docx
01-03
VMware 提供了一种强大的网络功能,即源网络地址转换(Source Network Address Translation,简称 SNAT)和目的网络地址转换(Destination Network Address Translation,简称 DNAT),这两种技术在网络通信中起着至...
DNAT的实际应用
03-04
在当今信息化时代,企业内外部通信的需求日益增加,为了保障网络安全与高效性,网络技术中的DNAT(Destination Network Address Translation,目标网络地址转换)成为了关键手段之一。具体到本案例中,局域网内的...
山石防火墙DNAT-web页面配置.pdf
08-31
山石防火墙DNAT-web页面配置
网络地址转换NAT
03-23
7. **实验结果分析**:"网络互连和NAT网络地址转换.pkt"文件可能记录了实验中的数据包捕获,通过Wireshark等工具分析这些数据包可以观察到NAT转换前后的IP和端口变化,进一步理解NAT的实际工作过程。 通过这样的...
Linux系统安全:SNAT和DNAT的实现
云计算之路
02-07 758
本文讲解了SNAT和DNAT的作用并通过虚拟机实验实现了SNAT和DNAT的功能,通过日志验证了实验结果
Ⅲ第七章学习博客(firewalld,iptables)
weixin_43941405的博客
12-10 412
Linux修炼之旅第七章! 今天来介绍火墙的管理策略firewalld和iptables,介绍两者的基础命令和高级规则。下面我们就开始吧 文章目录Linux修炼之旅第七章!一、火墙管理及工具切换二、firewalld1.firewalld的开启2.firewall的图形管理界面3.关于firewalld的域4.firewalld的管理命令关于trusted,block和drop5.firewalld的高级规则6.firewalld中的NATSNATDNAT三、iptables1.iptables命令2.ip
firewalld高级配置
每天都要开心呀(#^.^#)
07-04 6524
firewalld防火墙是Centos7系统默认的防火墙管理工具,取代了之前的iptables防火墙,也是工作在网络层,属于包过滤防火墙。
iptables 防火墙(二)——SNAT、DNAT
Katie_ff的博客
06-12 1648
SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址就是把内网地址转成指定的IP地址,这个iP地址可以访问公网。
firewalld的路由转发功能(snat和dnat
Coastline98的博客
05-02 2592
因为自己在配置时出现一些莫名其妙的问题,如ping不通,理由转发不成功等; 环境准备:3台主机,提前下载好httpd服务 关闭防火墙systemctl stop firewalld setenforce 0 systemctl status firewall 确认为dead getenforce 查看确认为disabled 1.主机1:提前下载好httpd,配置网卡为仅主机模式 认为该主机是内网主机 在实际生产工作中大部分看到的ip地址一般只到网段,这部分即可确认地区城市..........
Linux--firewalld-NAT地址转换实验(DNAT,SNAT,开启路由转发功能)
CN_TangZheng的博客
12-15 4137
- NAT包含DNAT和SNAT - DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP和目标端口 - SNAT:源地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址
教程篇(7.0) 04. FortiGate安全 & NAT ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
02-04 4512
本节课将介绍如何配置NAT,并使用NAT对经过FortiGate的流量进行源NAT和目的NAT的转换。
Firewalld ip伪装和端口转发
热门推荐
tallercc的博客
11-10 1万+
Firewalld  ip伪装和端口转发         伪装: 此举启用区域的伪装功能。私有网络的地址将被隐藏并映射到一个公有IP。这是地址转换的一种形式,常用于路由。由于内核的限制,伪装功能仅可用于IPv4。     # firewall-cmd --permanent --zone= --add-masquerade # firewall-cmd --permanent
firewalld配置
period000的博客
06-08 4543
一、防火墙 1.概述 动态防火墙后台程序 FireWalld提供了一个动态管理的防火墙,用以支持网络的zones,以分配对一个网络及相关连接和界面一定程度的信任;它支持以太网桥,并有分离运行时间和永久行配置选择。 2.域 home(家庭):用于家庭网络,仅接受dhcpv6-client、ipp-client、mdns、samba-client、ssh服务 internal(...
NAT原理详解:解决IPv4地址耗尽的网络技术
数据通信与计算机网络中的NAT (网络地址转换) 是一项关键技术,尤其在IPv4地址即将耗尽的情况下,为了解决网络地址空间不足的问题。NAT的基本工作原理主要包括以下几个方面: 1. **NAT的由来**:随着互联网的扩张和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值