SNAT和DNAT原理及应用

最新推荐文章于 2024-05-18 16:23:13 发布
最新推荐文章于 2024-05-18 16:23:13 发布
阅读量375 收藏 2
点赞数
文章标签: 网络 运维 linux
原文链接:https://juejin.cn/post/7093572943371829255 和https://blog.csdn.net/m0_71931851/article/details/126963783
版权

 

SNAT原理及应用

SNAT的典型应用环境:

局域网主机共享单个公网IP地址接入Internet。(私有IP不能在Internet中正常路由)

 

SNAT策略的原理

修改数据包的源地址

SNAT策略的配置

SNAT转换前提条件

  1. 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
  2. Linux网关开启IP路由转

SNAT策略的原理:

  • 源地址转换,Source Network Address Translation
  • 修改数据包的源地址

  • SNAT源地址转换过程:

  • 数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。
  • 当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。
  • 当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。

Linux网关开启IP路由转发

临时开启:

echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启:

 vim /etc/sysctl.conf

 net.ipv4.ip_forward=1    

 sysctl -p 

SNAT转换1:固定的公网IP地址

-A POSTROUTING 指定POSTROUTING链  

#-s 192.168.72.0/24 源地址所处的网段(内网IP)  

#-o ens33 出站网卡  

#-j SNAT  #--to 12.0.0.2   外网IP  

#--to-source 12.0.0.2-12.0.0.10  

SNAT转换:非固定的公网IP地址(共享动态IP地址)

 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADE

DNAT原理及应用

定义:

DNAT策略的应用环境:

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理


修改数据包的目标地址

DNAT策略的配置


DNAT转换前提条件
局域网的服务器能够访问Internet
网关的外网地址有正确的DNS解析记录
Linux网关开启IP路由转发
vim /etc/sysctl.conf

 net.ipv4.ip_forward=1    #将此行写入配置文件  

​ sysctl -p     #读取修改后的配置

DNAT转换1:发布内网的Web服务
 #把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.72.10  iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.102

 或

 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10-192.168.72.20  ​

 #-A PREROUTING       //修改目标地址的链 

#-i ens33          //入站网卡

 #-d 12.0.0.254       //数据包的目的地址

 #-p tcp --dport 80   //数据包的目的端口  

#-j DNAT             //使用DNAT功能

 #--to 192.168.109.11 //内网服务器IP
 

DNAT转换前提条件

  1. 局域网的服务器能够访问Internet
  2. 网关的外网地址有正确的DNS解析记录
  3. Linux网关开启IP路由转发‘

手动备份和还原

自动备份并加载,只能还原最新的防火墙规则。

如果手动备份,例如每天生成一个以日期为名称的备份文件,那么在还原时可以有选择地进行还原。比如选择上个月某一天的规则文件进行导入还原。

导出(备份)所有表的规则

 iptables-save > /opt/ipt.txt

导入(还原)规则

iptables-restore < /opt/ipt.txt

tcpdump—Linux抓包


wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。

(2)-i ens33 :只抓经过接口ens33的包。

(3)-t:不显示时间戳

(4)-s 0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

(5)-c 100 :只抓取100个数据包。

(6)dst port ! 22 :不抓取目标端口是22的数据包。

(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。

(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。
 

璀璨的夜晚
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables之SNATDNAT
01-08
iptables、SNATDNAT实验
SNAT,是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址
weixin_34257076的博客
04-04 1196
SNAT,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网的数据包发到公网IP后,公网IP会给你的私网IP回数据包,这时,公网IP根本就无法知...
使用 Azure SNAT 为 SAP Commerce Cloud 的 outbound connection 进行端口映射
SAP 资深技术专家 Jerry Wang 的技术分享
10-15 208
例如,如果两个后端实例分别分配了 64,000 个端口,并且可以访问两个前端 IP,则两个后端实例都将使用第一个前端 IP 的端口,直到所有 64,000 个端口都用完。负载平衡或入站 NAT 规则中使用的每个端口都使用 64,000 个可用 SNAT 端口中的 8 个端口。如果负载平衡或入站 NAT 规则中使用的端口与另一个规则使用的八个端口位于同一块中,则不需要额外的端口。为了建立出站连接,使用临时端口为目标提供一个端口,在该端口上进行通信和维护不同的流量。端口用于生成用于维护不同流的唯一标识符。
iptables中DNATSNAT的理解
06-02 593
iptables中DNATSNAT的理解January 12th, 2009 at 12:29 pm Linux 目的映射, DNAT, 转发, ip forwarding, iptables, Linux, NAT, SNAT, 地址转换, 源映射 DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNA
Linux防火墙之SNATDNAT
夏颜的博客
05-11 510
文章目录一.SNAT1.1SNAT工作原理1.2SNAT转换流程二.DNAT2.1DNAT工作原理2.2DNAT转换流程 引言: iptables有四个表,其中比较重要的有filter表,与nat表,本文着重讲解nat表的地址转换 一.SNAT 1.1SNAT工作原理 SNAT应用环境:局域网主机共享单个公网IP地址接入Internet (私有 IP不能在Internet中正常路由) SNAT原理:源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射 SNAT转换前提条件: 1.局域网各主机已正
SNAT原理
Dadit的博客
07-13 3387
SNAT 策略及应用SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址 SNAT 策略概述 随着internet网络的快速发展,IPv4可支持的可用IP地址资源逐渐匮乏,大部分企业面临着局域网内的主机接入internet的需求,从而通过SNAT策略来解决局域网共享上网的问题,可得以缓解。而解决IPv4地址匮乏的是 (IPv6) 工作原
SNATDNAT原理及配置方法
chengu04的博客
08-01 7936
文章目录SNAT策略概述DNAT策略概述SNATDNAT配置防火墙规则的备份和还原 SNAT策略概述 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,B收
SNAT原理及解析
weixin_34161083的博客
08-30 783
 snat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网...
SNATDNAT详解
meishujian的博客
05-27 3368
在linux操作系统中,Netfilter组件是集成在linux内核中扩展各种网络服务的结构化底层框架,在内核级提供防火墙功能。内核中选取五个位置放了五个hook(勾子) function(INPUT、OUTPUT、FORWARD、PREROUTING、POSTROUTING),而这五个hook function向用户开放,用户可以通过一个命令工具(iptables)向其写入规则。 报文流向: 流入本机:PREROUTING --> INPUT-->用户空间进程 ...
SNATDNAT的基本概念与配置
F2001523的博客
11-22 1500
文章目录一、SNAT策略概述二、DNAT概述三、SNATDNAT的配置 一、SNAT策略概述 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网 网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B
VMware之SNATDNAT.docx
01-03
VMware之SNATDNAT
iptables的SNATDNAT地址转换配置.pdf
07-11
iptables的SNATDNAT地址转换配置.pdf 学习资料 复习资料 教学资源
使用SNATDNAT策略实现网关应用
09-08
打开密码 www.clvn.com.cn
netfilter 五个钩子点实现SNATDNAT的方案
08-02
netfilter_queue的安装包所需依赖包,先安装libmnl然后libnfnetlink最后netqueue。在钩子点可以通过return NF_QUEUE对所需数据包进行地址转换
H3C_源地址转换(snat)及端口映射(dnat)的nat双向转换配置
zsisle的博客
10-15 3979
通常私网用户访问公网上的相关服务资源,需要配置源地址转换(snat);公网用户访问私网的相关服务资源也需要配置端口映射(dnat)。这就是nat地址的双向转换,本案例来演示和讲解如何配置源地址转换及端口映射。
Linux性能优化实战:案例篇-如何优化 NAT 性能?(上)(41)
weixin_30235225的博客
09-20 290
一、上节回顾 上一节,我们探究了网络延迟增大问题的分析方法,并通过一个案例,掌握了如何用hping3、tcpdump、Wireshark、strace 等工具,来排查和定位问题的根源。 简单回顾一下,网络延迟是最核心的网络性能指标。由于网络传输、网络包处理等各种因素的影响,网络延迟不可避免。但过大的网络延迟,会直接影响用户的体验。 所以,在发现网络延迟增大的情况后,你可以先从路由、...
端口映射、SNAT(源网络地址转换)
苍木念川的博客
12-01 3304
本文为作者学习文章,按作者习惯写成,如有错误或需要追加内容请留言(不喜勿喷) 本文为追加文章,后期慢慢追加 参考链接:内网和外网之间的通信(端口映射原理)https://www.jianshu.com/p/142dc8e31d29 SNAT 内网地址向外访问时,发起访问的内网ip地址转换为指定的公网ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。 注:私网地址只能在私网中使用。 内网客户机对公
TMOS系统之NATS 和 SNAT
AnNanDu的博客
03-16 3079
NAT 和 SNAT 简介 用户可以将 BIG-IP®系统配置为转换通过系统的数据包中的 IP 地址。用户可以为网络地址转换 (NAT) 和源网络地址转换 (SNAT) 配置对象。 NAT 和 SNAT 的比较 SNAT 类似于 NAT,除了此表中列出的差异。 NAT SNAT 用户只能将一个原始地址映射到转换地址。 用户可以将多个原始地址映射到一个转换地址。用户甚至可以将网络上的所有节点地址映射到单个 SN.
使用MPLS解决BGP的路由黑洞(详解)
最新发布
qq_64302290的博客
05-18 237
我们知道在MPLS中数据的转发不再依靠路由表而是靠标签(注意:标签是在路由的基础上形成的)。所以在BGP中,我们依靠的就是这个特性来解决BGP的路由黑洞。BGP路由黑洞的解释:BGP的路由黑洞其实就是路由层面可达,数据层面不可达。(你可以收到对方的路由,但是不能和对方通讯。
snatdnat
06-07
SNATDNAT都是网络地址转换技术的一种。SNAT(Source NAT)是指源地址转换,即在数据包从私有网络传输到公共网络时,将私有网络中的源地址替换成公共网络的IP地址。DNAT(Destination NAT)是指目的地址转换,即在数据包从公共网络传输到私有网络时,将公共网络的目的地址替换成私有网络中的IP地址。这两种技术都是为了解决IP地址短缺和网络安全性问题而出现的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值