两张图看懂iptables之NAT

最新推荐文章于 2021-04-02 09:52:55 发布
最新推荐文章于 2021-04-02 09:52:55 发布
阅读量245 收藏
点赞数
分类专栏: iptables 防火墙 文章标签: iptables 防火墙 nat DNAT SNAT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mingmingwei123/article/details/85269526
版权

私网内的主机访问公网网络,通常有两种方式:

1、通过代理的方式(proxy),如nginx、f5等软硬件等形式,主要在应用层实现;

2、通过网络地址转换(nat)的方式,此方式可在应用层、传输层进行,主要特点为安全,也是本次实验的,nat分为DNAT和SNAT。

一、DNAT:目的地址转换。当外网主机访问内网的某台服务器的时候,如果直接暴露服务器的IP于公网,可能会遭受各种各样的攻击,而DNAT的主要作用就是在服务器前面添加一台防火墙。将防火墙的地址公布出去,让外网客户端通过访问防火墙的地址就可以访问到本地服务器。这样就起到了保护服务器的目的;

在nat server添加如下防火墙规则即可实现DNAT功能:

iptables -t nat -A -PREROUTING -d 192.168.33.83 -p tcp --dport 80 -j DNAT --to-destination 172.16.10.1

测试:在外网机器A执行curl http://192.168.33.83。看到可以返回172.16.10.1的web页面内容。(确保172.16.10.1开启httpd服务)

二、SNAT:源地址转换。内网主机在访问互联网的时候所有源地址都转换为防火墙的外网地址,起到隐藏内网客户机的目的。同时,也解决了IPV4公网地址不够用的需求。

在nat server添加如下防火墙规则即可实现SNAT功能:

iptables -t nat  -A POSTROUTING -s 172.16.10.1 -j SNAT --to-source 192.168.33.83

测试:在内网机器C执行ping 192.168.33.81 或者curl http://192.168.33.81。可以在A的httpd日志中看到的请求地址为192.168.33.83,而不是172.16.10.1。(确保192.168.33.81开启httpd服务)

实验注意:需要在B机器打开网络转发功能(cd /proc/sys/net/):

sysctl -w net.ipv4.ip_forward=1

 

 

 

 

 

骑着恐龙看世界
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesnat的配置与管理
12-29
iptablesnat的配置与管理,对于iptables的配置与管理都有一定的基础。
IPtables之四:NAT原理和配置
weixin_34250709的博客
07-26 497
NAT一般情况下分为SNAT,DNAT和PNAT 此篇主要讲述的是使用iptables配置NAT,所以这3种NAT的区别和应用场景就简单的说明一下 SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情...
Linux防火墙iptables rule简易教程
JAVA技术
08-13 867
如其名称所示,iptables,就是里面有好几个table,大约有过滤桌、nat桌、mangle桌啥的。后两个你先别管,等我搞明白了再来教你,第一个桌子从名称上一看就明白了,过滤数据用的,它也正是我们用来防止攻击用的——把坏人过滤掉,不让他进来!那我们就讲这个过滤桌吧。 这个桌子上放有一条一条的chain,就是链子。每个链子由尺子(rules)组成…严肃点,我不开玩笑了,这么说吧,table(表...
一文带你读IPTABLES
bbj1030的博客
12-05 448
防火墙相关概念 从逻辑上分类: 主机防火墙:为单个主机进行防护 网络防火墙:对网络入口进行防护,服务防火墙背后的本地局域网 主机防火墙(个人)和网络防火墙(集体)相辅相成![]( 从物理上分类: 硬件防火墙:硬件级别实现部分防火墙功能,另一部分功能基于软件实现,性能高,成本高。 软件防火墙:应用软件处理逻辑运行于通用硬件平台上的防火墙,性能低,成本低 IPTABLES:一个客户端代理,将用户...
IPTABLE NAT
代码人生
07-16 2085
#!/bin/shecho "1" > /proc/sys/net/ipv4/ip_forwardmodprobe ip_tablesmodprobe ip_nat_ftpiptables -t nat -A PREROUTING -d 218.249.75.178 -p tcp -m tcp --dport 6259 -j DNAT --to-destination 192.16
linux下设置iptables实现NAT功能
04-14
linux下设置iptables实现NAT功能
iptables建立NATiptables建立NAT
06-23
iptables建立NATiptables建立NATiptables建立NATiptables建立NATiptables建立NATiptables建立NAT
linux两堵墙之一:iptables
01-09
虽然有软件或硬件之分,但主要功能都是依据策略对穿越防火墙自身的流量进行过滤。防火墙策略可以基于流量的源目地址、端口号、协议、应用等信息来定制,然后防火墙使用预先定制的策略规则监控出入的流量,若流量与某...
一个iptables的stateless NAT模块实现
12-27
,也只有在BOX两边的网络在拓扑级别是完全对等的情形下,这种NAT或许才是有用的,Cisco设备经常处在这样的位置,比如一个很大的stub节点的出口位置,比如两个domain的中间位置... 我将名字取为STATIC-2-WAY-NAT,...
Linux下iptables的工作机制图解以及在NAT的应用
u014492019的专栏
04-18 796
1.iptables工作机制 在做NAT和DNAT的时候,目标地址转换必须在路由之前转换。所以我们必须在外网而后内网的接口处进行设置关卡。
iptablesNAT
qq_40343772的博客
07-08 650
简介     在日常使用环境中,不会为每台 主机/服务器 单独分配IP地址,一是没有足够多的IP地址(IPv4)供我们使用,二是出于安全角度考虑(不会直接暴露在互联网上),它们通常被部署在局域网内。但是局域网内与外部的通信成为了一大问题,NAT(Network Address Translation)技术是解决局域网与外部通信的一种好方法。其实在早期,它的出现是为了隐藏内部主机,即出于安全角度而设...
iptablesNAT
weixin_33769207的博客
10-23 125
iptablesNAT==============================================================================概述:==============================================================================NAT:SNAT和DNAT1.源地...
防火墙——NATiptables
dongxie_tk的博客
09-05 721
一、Iptables 1、Linux Kernel中的包过滤防火墙 (1)Ipfw/ipfwadm    2.0.*中使用移植于BSD的ipfw    缺点:包过滤、NAT等代码混杂在整个网络相关代码中 (2)Ipchains    2.2.*中使用 (3)Netfilter/iptables    2.4.*iptables    可以从 www.ne
iptables 详解(NAT)
changexhao的专栏
10-24 5658
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables-NAT实现
李少侠
04-02 838
文章目录SNAT源地址的转换DNAT目标地址转换 SNAT源地址的转换 基于源地址的转换一般用在我们的许多内网用户通过一个外网上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。 比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址: iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.
iptables NAT脚本
LUES的专栏
03-03 2205
[root@test11 etc]# more xxx#!/bin/bashecho "1" > /proc/sys/net/ipv4/ip_forwardINET_IFACE="eth1"INET_IP="210.75.18.35"LAN_IFACE="eth0"LAN_IP="192.168.10.11"LAN_IP_RANGE="192.168.10.0/8"IPT="/sbin/iptab
iptable配置nat
weixin_34405925的博客
10-09 819
网络环境: #dtcenter服务器 :eth0:192.168.133.200(可达IP) eth1:内网IP - 12.2.0.200 #mysql服务器:内网IP - 12.1.0.7 #0.0.0.0 -> 192.168.133.200:63306 <-> (12.2.2.200->12.1.0.7:3306) iptables -t nat -A PRER...
iptablesNAT设置
最新发布
06-01
iptables可以通过NAT(Network Address Translation)技术实现网络地址转换,主要包括源地址转换(SNAT)和目标地址转换(DNAT)。SNAT将源IP地址替换为另一个IP地址,而DNAT将目标IP地址替换为另一个IP地址。 下面是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值