iptables详解——SNAT和DNAT

最新推荐文章于 2024-03-19 14:15:37 发布
最新推荐文章于 2024-03-19 14:15:37 发布
阅读量1.1k 收藏 6
点赞数 1
文章标签: 网络 linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51720581/article/details/131690345
版权

iptables详解——SNAT和DNAT

书接上回,咳咳,这次是回来填坑的。(虽然已经快过去三个月了,哈哈)。下面进入正文

前言

本篇文章主要介绍NAT技术(NAT,Network Address Translation,网络地址转换),以及iptables相关的实操。想了解iptables的小伙伴可以去看我之前的文章:Linux防火墙——iptables详解

NAT简介

NAT技术的提出是为了解决IPv4地址不够用的问题。在互联网中,为了定位主机,需要给每一台联网的主机设置一个IP地址。IPv4地址是由4 * 8位二进制数组成,只够分配给约43亿主机使用,而现在全球网民已经有51.6亿多人(来自2023年全球数字报告),显然不够用。为了解决这个问题,提出了NAT技术。

NAT原理

NAT技术的原理是将内部网络中的多个私有 IP 地址转换为一个或多个公共 IP 地址。这样,局域网中的多个设备可以共享同一个公共 IP 地址与互联网进行通信,从而减少IP地址的消耗。

工作步骤

  1. 内部设备发送数据包:当内部网络中的设备向外部网络发送数据包时,数据包的源 IP 地址是设备的私有 IP 地址,目标 IP 地址是外部服务器的公共 IP 地址。
  2. NAT 路由器接收数据包:NAT 路由器是内部网络与外部网络之间的边界设备。它接收到数据包后,检查目标 IP 地址。
  3. 地址映射查找:NAT 路由器在其地址映射表中查找与源 IP 地址相对应的公共 IP 地址和端口号。这个映射关系指示了内部设备与外部设备之间的对应关系。
  4. 地址转换:如果找到了匹配的映射关系,NAT 路由器将源 IP 地址和端口号修改为映射表中的公共 IP 地址和端口号。这样,在数据包进入外部网络时,数据包的源 IP 地址就变成了 NAT 路由器的公共 IP 地址。
  5. 数据包转发:NAT 路由器将修改后的数据包转发到外部网络中的目标服务器。
  6. 响应数据包返回:当外部服务器向 NAT 路由器返回响应数据包时,NAT 路由器查找地址映射表以确定目标设备,并将目标 IP 地址和端口号转换回内部设备的私有 IP 地址和端口号。然后,NAT 路由器将响应数据包转发给正确的内部设备。
优点和缺点

基于这些工作原理NAT有如下几个优点:

  1. 地址共享:通过 NAT,多个设备可以使用相同的公共 IP 地址与互联网通信,节省了 IPv4 地址资源。
  2. 安全性增强:内部设备使用私有 IP 地址进行通信,对外部网络来说不可见,提高了网络的安全性。
  3. IP 地址隐藏:由于内部设备使用的是私有 IP 地址,外部用户无法直接访问这些设备,可以增加对攻击的防御。

但是NAT有两个致命的缺点:NAT会使网络产生额外的网络延迟和复杂性。NAT产生额外的网络延迟是由于每进行一次数据交换,NAT就要转换一次IP地址(这个操作需要时间),这就产生了完全不必要的时间损耗。NAT增加网络复杂性则是因为NAT屏蔽了主机与主机之间的直接通信,两者之间必须通过网关,然后为了保证主机能够顺利访问外网,网关还必须要维护一张映射表,除此之外,多种映射关系会导致网络调试更加困难,这些会导致网络的复杂性大大加强。

总的来说,NAT确实存在着很好的优点,但是NAT是为了解决ipv4地址不足而提出的,这其实治标不治本,最好的解决办法应该是更快的普及ipv6地址,ipv6地址不仅有着ipv4没有的优点,还不存在NAT的这些问题,希望全网使用ipv6地址的那一天早日到来。

SNAT和DNAT

上文提到的NAT技术是一个广义的概念,而SNAT(源地址转换,Source Network Address Translaiton)和DNAT(目的地址转换, Destination Network Address Translation)则是NAT具体细分的概念。

概念

SNAT:SNAT(Source Network Address Translation),也称为出口NAT,用于将源IP地址从内部私有地址转换为公共地址。当内部主机发送数据包到外部网络时,NAT设备(如路由器或防火墙)会修改数据包的源IP地址为NAT设备的公共IP地址,以便与外部网络通信(使内部机器能够上网)。这样可以隐藏内部网络的真实IP地址。

DNAT:DNAT(Destination Network Address Translation),也称为入口NAT,用于将目标IP地址从公共地址转换为内部私有地址。当外部网络上的数据包发送到经过NAT的网络时,NAT设备会根据转换规则将数据包的目标IP地址修改为内部主机的私有IP地址,以便将数据包正确地转发给内部主机。

iptables实践

到现在为止,和NAT有关的概念已经介绍完毕,那么NAT和Linux中的防火墙又有什么关系呢?在Linux中,iptables提供了NAT相关的实现,通过在Linux中使用相关的命令,就可以将Linux主机模拟成NAT设备,对NAT相关技术进行模拟验证。

实例

这里将用到iptables相关的概念和命令参数,没学过的小伙伴可以去看我的另一篇文章:Linux防火墙——iptables详解

其实相关的实现很简单,在iptables中,提供了相关的-j动作(SNAT和DNAT动作)

  • NAT的配置均是在网关服务器上进行
SNAT实现

一般常用配置SNAT的命令格式

iptables -t nat -A POSTROUTING -s 源ipv4地址 -o 网卡名称 -j SNAT --to-source 公网ipv4地址

SNAT用于将源IP地址从内部私有地址转换为公共地址,从而使内部主机能够连接公网上的主机。这条命令中-A指定添加到的规则链,-s代表了数据交换的源地址,-j SNAT 表示使用SNAT动作, --to-source-s的ip地址转换为相关的公网ip地址。

举例

模拟情景:假设有两台Linux主机,一台是内网的Linux主机,然后一台模拟网关设备,网关设备具有公网IP地址,通过设置,使只有私网地址的Linux主机能够上网。假设内网主机称为host1,模拟网关设备称为host2。(为了模拟路由网关,在host2上打开路由转发功能,echo 1> /proc/sys/net/ipv4/ip_forward ,host2还需配置两张网卡分别负责处理公网和私网的数据交换)

  • 这里设置host1桥接模式IP地址为192.168.70.70(只要是在本地局域网无法上网的IP地址就行),host2使用可以上网的局域网地址(使用这个地址模拟公网地址)

  1. 由于host1只有私有IP地址,使用ping命令发现无法上网。

    请添加图片描述

  2. 查看host1主机IP地址,在host2进行相关配置。

    iptables -t nat -A POSTROUTING -s 192.168.70.70 -o ens37 -j SNAT --to-source 192.168.x.x

  3. 配置成功之后,再次使用ping命令,发现能够上网。

    请添加图片描述

DNAT实现

一般常用配置DNAT的命令格式

iptables -t nat -A PREROUTING -d 公网ipv4地址 -i 网卡名称 -p 指定协议 [--dport 端口号] -j DNAT --to-destination 实际目标ipv4地址

DNAT这条命令和SNAT相差不大,而DNAT是将目标IP地址从公共地址转换为内部私有地址,这里-A指定添加到哪个规则链,使用-d指定了外网访问的ipv4地址,然后将使用-j DNAT配置DNAT动作用于完成DNAT规则,--to-destination指定内网IP地址。

举例

模拟情景:假设有两台Linux主机,一台是内网的Linux主机,然后一台模拟网关设备,网关设备具有公网IP地址,通过设置,使外部的主机能够连接内网Linux主机。假设内网主机称为host1,模拟网关设备称为host2。(为了模拟路由网关,在host2上打开路由转发功能,echo 1> /proc/sys/net/ipv4/ip_forward ,还需配置两张网卡分别负责处理公网和私网的数据交换)

  • 这里设置host1桥接模式IP地址为192.168.70.1(只要是在本地局域网无法上网的IP地址就行),host2使用可以上网的局域网地址(使用这个地址模拟公网地址)

  1. 使用一台与网关同级的机器ping(这里使windows)Linux主机,发现无法ping通。

    请添加图片描述

  2. 在host2上进行相关配置。

    iptables -t nat -A PREROUTING -d 192.168.x.x -i ens33 -p icmp -j DNAT --to-destination 192.168.70.70

  3. 再次使用ping命令,发现外部主机能够连接。

    请添加图片描述
    host1抓包结果
    host2抓包结果

    • 这里与网关同级的主机的ping的是网关服务器的IP地址,然后在host1上使用tcpdump抓包icmp,能够发现抓到的源目IP都是host2和外部主机的,但是这条命令指定抓包网卡是host1的ens33,这是因为通过DNAT,所有ping网关的指令都被转发转发到了host1上,而在host2上tcpdump抓包,可以发现真正的通信IP地址。

总结

NAT相较于iptables的实操,概念的理解更加重要,命令中为什么SNAT规则需要添加在nat表的POSTROUTING链上,然后为什么DNAT规则需要添加在nat表的PREROUTING链上,这都需要详细的理解iptables和nat相关的概念,NAT的实际使用更多的是对概念的实践验证。

最后,上述的准备模拟情景准备步骤没有描述的很详细,情景准备涉及到LinuxIP的设置以及如何给Linux虚拟机增加一张网卡(变成两张网卡),设置IP地址可以看我的博客K8s安装–超级详细(无坑)第二步有讲到,增加网卡得大家自己寻找一下方法了。

关于永久保存iptables规则的命令。

# 导出iptables规则,默认导出在/etc/iptables/
iptables-save > filename.txt

# 导入iptables规则,开机不会自动导入
iptables-restore < /etc/iptables/filename.txt

最后,如果博客哪里有问题,欢迎大家在评论区中指出,谢谢大家。

计划的下一篇文章:利用iptables实现内网服务器发布(SNAT+DNAT+docker),希望不会让大家等太久,哈哈。

我不当正经人了z
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
Linux防火墙之--SNAT和DNAT
qq_51506982的博客
10-07 1932
当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。firewall-cmd --list-all 查看。firewall-cmd --zone=指定区域。添加,浏览器20.0.0.10即可看到是否成功。2.给网关服务器添加一张虚拟网卡。查看区域内允许通过的服务。web端连接客户端测试。做SNAT的地址转换。
iptables防火墙之SNAT与DNAT
最新发布
gfbcdgbb的博客
03-19 584
局域网主机共享单个公网IP地址接入Internet。
Linux系统之iptables应用SNAT与DNAT
ZHUZIH6的博客
02-19 1868
SNAT与DNAT原理及应用,详细实验过程;对比SNAT与DNAT区别;介绍iptables规则的备份与还原以及使用tcpdump抓包
使用iptables进行NAT转发
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
DNAT是什么?
flameboy的博客
05-17 2万+
SNAT,DNAT就是对数据包的源地址和目的地址进行修改,并且保存修改前后的映射关系,并且根据需要进行还原操作。 SNAT:出去的时候改 变原地址(snat),回来的时候改变目的地(un_snat)。 DNAT:进来的时候改变目的地址(dnat),出去的时候改变源地址 (un_dnat)。例如回环,就用到了SNAT和DNAT。 例如: src 192.168.1.2(client) ,dn...
linux网络】防火墙规则二:SNAT策略与DNAT策略
wang_dian1的博客
05-21 1031
将外网发来的数据包的目的地址由公网IP/端口,转换为私网IP/端口,网关服务器在更具路由转发。第二步:配置好虚拟机的IP地址与网关地址,并开启路由转发,同上即可。第一步,开启三台服务器,一台客户端,一台网关服务器,一台服务端。第一步:配置三台虚拟机,外网虚拟机做客服端,内网虚拟机做服务端。第二步,在网关服务器上开启路由转发,并使用SNAT转换地址。第三步:做DNAT转换把,内网服务器及端口号映射在外网口。
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
iptables 详解iptables 详解
12-02
iptables 详解
iptables详解:图文并茂理解iptables.pdf
05-18
iptables 防火墙 linux
iptables之SNAT与DNAT
稻香的博客
06-05 849
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例二. DNAT原理与应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修改目标端口5. DNAT案例5.1 修改win10网络配置5.2 修改主机2的网卡并重启5.3 修改主机2的
linux防火墙之iptablesNAT
qinwunan的博客
05-31 921
防火墙策略一般分为两种,一种叫“通”策略,一种叫“堵”策略,通策略,默认门是关着的,必须要定义谁能进。堵策略则是,大门是洞开的,但是你必须有身份认证,否则不能进。所以我们要定义,让进来的进来,让出去的出去,所以通,是要全通,而堵,则是要选择。当我们定义的策略的时候,要分别定义多条功能,其中:定义数据包中允许或者不允许的策略,filter过滤的功能,而定义地址转换的功能的则是nat选项。
Linux命令--iptables--使用/实例
IT利刃出鞘的博客
07-21 4989
本文介绍Linuxiptables命令的用法。
网络地址转换:DNAT和SNAT有啥区别?分别用于什么场景?
网络技术联盟站
05-23 1920
网络地址转换(Network Address Translation,简称NAT)是一种常见的网络技术,用于在私有网络(如家庭或办公室网络)与公共网络(如互联网)之间进行通信。NAT的主要目的是将私有网络中的内部IP地址转换为公共网络可路由的IP地址,以实现与公共网络的连接。NAT工作在网络层(第三层)上,它通过修改IP数据包的源IP地址和目标IP地址来实现地址转换。通常情况下,NAT是由网络设备(如路由器或防火墙)来执行的。NAT有几种常见的形式,其中包括静态NAT动态NAT和PAT(端口地址转换)
SNAT和DNAT原理及配置方法
chengu04的博客
08-01 8047
文章目录SNAT策略概述DNAT策略概述SNAT和DNAT配置防火墙规则的备份和还原 SNAT策略概述 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,B收
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptables DNAT 与 SNAT 详解
Vic的博客
06-18 1443
DNAT target 这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可以被路由到正确的主机或网络。DNAT target是非常有用的。比如,你的web服务器在LAN内部,而且没有可以在Internet上使用的真实IP地址,那就可以使用这个target让防火墙把所有到它自己HTTP端口的包转发给LAN内部真正的web服务器。目的地址也可以是一个范围,这样的话,DNAT会为每一个流随机分配一个地址。...
SNAT和DNAT配置
05-29
SNAT和DNATLinux系统中的网络地址转换技术,可以将原始的源IP地址或目标IP地址进行转换,以实现不同子网之间的通信。 SNAT(Source Network Address Translation)即源地址转换,是将请求报文的源IP地址替换为另一个IP地址的技术。例如,当内部网络的主机要访问Internet时,需要将内部主机的IP地址转换为Internet接口的IP地址才能访问Internet。SNAT的配置命令如下: ``` iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 202.108.1.100 ``` 该命令将源地址为192.168.1.0/24的IP数据包进行SNAT,即将源IP地址替换为202.108.1.100,然后通过eth0接口发送出去。 DNAT(Destination Network Address Translation)即目标地址转换,是将请求报文的目标IP地址替换为另一个IP地址的技术。例如,当Internet上的主机要访问内部网络时,需要将请求报文的目标IP地址转换为内部网络中的主机IP地址才能访问内部网络。DNAT的配置命令如下: ``` iptables -t nat -A PREROUTING -i eth0 -d 202.108.1.100 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:80 ``` 该命令将目标地址为202.108.1.100、目标端口为80的TCP数据包进行DNAT,即将目标IP地址替换为192.168.1.10,然后将数据包转发到内部网络中的主机上。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值