SNAT与DNAT的应用

已于 2023-07-09 22:04:34 修改
阅读量685 收藏
点赞数
文章标签: 服务器 网络 运维
于 2023-05-21 19:17:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q1y2y3/article/details/130791519
版权

目录

一、SNAT概述

1.SNAT应用环境——局域网共享上网

2. SNAT工作原理

2.1未作SNAT转换时

2.2进行SNAT转换后

二、配置SNAT策略

1.开启IP路由转发

2.SNAT转换

3.模拟实验

3.1服务端

3.2网关服务器

3.3网关服务器设置iptables规则

 3.4客户端

 3.5实验结果

三、DNAT概述

1.DNAT策略应用环境——外网访问在局域网中的服务器

 2.DNAT工作原理

 四、配置DNAT策略

 1.DNAT转换

2.模拟实验

3.1服务端

 3.2客户端

 3.3网关服务器

3.4配置DNAT策略

3.5实验结果

五、tcpdump抓包

六、防火墙规则的备份和还原

一、SNAT概述

SNAT原理:修改数据包的源地址

1.SNAT应用环境——局域网共享上网

将局域网中的IP地址映射到 dns 网关服务器上,将私网IP地址转换成公网IP地址,从而访问位于公网的服务器。

2. SNAT工作原理

2.1未作SNAT转换时

源主机发送数据包给目的主机,目的主机可以收到数据包,但目的主机发送回包时,数据包无法发送给源主机。

2.2进行SNAT转换后

工作原理:

  1. 将从内网发到外网的数据包的源IP由私网IP转换成公网IP
  2. 将从外网服务器响应返回到内网的数据包的目的IP由公网IP转换成私网IP

二、配置SNAT策略

SNAT转换前条件

  • 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
  • Linux网关开启IP路由转发

1.开启IP路由转发

临时打开
echo 1 > /proc/sys/net/ipv4/ip_forward  
或
sysctl -w net.ipv4.ip_forward=1

永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward=1    #将其添加进配置文件

sysctl -p                #读取修改后的配置

2.SNAT转换

转换为固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j SNAT 
--to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j SNAT 
--to-source 12.0.0.1-12.0.0.10

转换为非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j MASQUERADE

小知识扩展:
一个IP地址做SNAT转换,一般可以让内网 100到200 台主机实现上网。

3.模拟实验

3.1服务端

服务器位于公网,IP地址为12.0.0.100/24。开启http服务。

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.100
NETMASK=255.255.255.0
GATEWAY=12.0.0.50

systemctl restart network

yum -y install httpd
#进入http服务的网页目录
cd /var/www/html
#在其中写入一个文件
echo 'hello world!' > test.html
#开启服务
systemctl start httpd

3.2网关服务器

进行SNAT转换,ens33作为私网IP地址,ens35作为公网IP地址。首先,在虚拟机中设置两张网卡

vim /etc/sysconfig/network-scripts/ifcfg-ens35
NAME=ens35
DEVICE=ens35
ONBOOT=yes
IPADDR=12.0.0.50
NETMASK=255.255.255.0

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.40
NETMASK=255.255.255.0

systemctl restart network

3.3网关服务器设置iptables规则

#安装iptables服务
yum -y install iptables*
#删除iptables规则及nat表中规则
iptables -F && iptables -F -t nat
#查看iptables规则
iptables -nL

vim /etc/sysctl.conf
net.ipv4.ip_forward=1    

sysctl -p   

#允许192.168.88.0网段进入网关服务器转发
iptables -t filter -A FORWARD -s 192.168.88.0/24 -j ACCEPT
#指定出站网卡ens35,将192.168.88.0网段IP地址转换为12.0.0.50
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens35 -j SNAT 
--to 12.0.0.50

 3.4客户端

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.20
NETMASK=255.255.255.0
GATEWAY=192.168.88.40

systemctl restart network

 3.5实验结果

在客户端浏览器登录 http://12.0.0.100/test.html

服务端

cd /var/log/httpd
grep 'test.html' access_log

   

三、DNAT概述

DNAT原理:修改数据包的目的地址

1.DNAT策略应用环境——外网访问在局域网中的服务器

 2.DNAT工作原理

工作原理:

  1. 将外网发来的数据包的目的地址由公网IP或端口转换成私网IP或端口;网关服务器将私网IP转发给内网服务器
  2. 将内网服务器发来的应答响应数据包的源地址由私网IP或端口转换成公网IP或端口

 四、配置DNAT策略

DNAT转换前提条件:

  • 局域网的服务器能够访问Internet
  • 网关的外网地址有正确的DNS解析记录
  • Linux网关开启IP路由转发

 1.DNAT转换

发布内网的web服务
把从ens35进来的要访问web服务的数据包目的地址转换为 192.168.88.40
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.50 -p tcp --dport 80 
-j DNAT --to 192.168.88.40
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.50 -p tcp --dport 80 
-j DNAT --to-destination 192.168.88.40

发布时修改目标端口
发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 
-j DNAT --to 192.168.80.10:22

注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回

小知识扩展:

  • 主机型防火墙 主要使用 INPUT、OUTPUT 链,设置规则时一般要详细的指定到端口
  • 网络型防火墙 主要使用 FORWARD 链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可
     

2.模拟实验

3.1服务端

vim /etc/sysconfig/network-scripts/ifcfg-ens33 
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.30
NETMASK=255.255.255.0
GATEWAY=192.168.88.2

systemctl restart network

yum -y install httpd
#进入http服务的网页目录
cd /var/www/html
#在其中写入一个文件
echo 'hello world!' > test.html
#开启服务
systemctl start httpd

 3.2客户端

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.200
NETMASK=255.255.255.0
GATEWAY=12.0.0.2

systemctl restart network

 3.3网关服务器

vim /etc/sysconfig/network-scripts/ifcfg-ens35
NAME=ens35
DEVICE=ens35
ONBOOT=yes
IPADDR=12.0.0.2
NETMASK=255.255.255.0

vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.2
NETMASK=255.255.255.0

systemctl restart network

3.4配置DNAT策略

#外网主机访问发送数据包允许通过
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.2 -p tcp --dport 8080 
-j DNAT --to 192.168.88.30:80

#服务器的回包发送给访问主机
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens35 -j SNAT 
--to 12.0.0.2

3.5实验结果

客户端访问服务器

五、tcpdump抓包

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 
and src net 192.168.1.0/24 -w ./target.cap

-i ens33:只抓经过接口ens33的包
-t:不显示时间戳
-s 0:抓取完整数据包,否则默认抓取长度为68字节
-c 100:只抓取100个包
dst port !22 :不抓取目标端口是22的数据包
src net:数据包的源地址
-w:保存为cap文件,方便wireshark分析

六、防火墙规则的备份和还原

导出(备份)所有表的规则
iptables-save > /opt/ipt.txt
 
导入(还原)规则
iptables-restore < /opt/ipt.txt


将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables

停止iptables服务会清空掉所有表的规则
systemctl stop iptables						

启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则
systemctl start iptables

q1y2y3
关注
网络地址转换的两种模式:SNAT和DNAT网络通信的核心
网络技术联盟站
11-15 2235
SNAT和DNAT网络地址转换(NAT)的两种主要模式,它们在许多网络环境中都发挥着重要的作用。SNAT主要用于允许内部网络的主机通过一个公网IP地址访问互联网,而DNAT主要用于将外部网络的请求重定向到内部网络的特定主机。尽管SNAT和DNAT都可以提供一定程度的安全性,但它们并不能提供完全的安全保障。因此,我们应该将SNAT和DNAT作为网络安全策略的一部分,与其他安全措施(如防火墙和入侵检测系统)一起使用。
SNAT与DNAT的原理及应用
别来沾边儿
08-05 725
src 192.168.1.2(client) ,dnat 10.14.11.177(firewall),dst 192.168.2.2(http server),添加回环规则后,从src对10.14.11.177进行请求,然后转到dst,随后进行相反操作,最后src客户端收到源为 10.14.11.177,目的为自身的数据包,因此会正确接收。例如回环,就用到了SNAT和DNAT。3 dst进行请求回复,进行pre的反操作,进行源地址的转换: 192.168.2.2》10.14.11.177,......
SNAT和DNAT应用场景
kklvsports的专栏
10-30 2849
SNATNAT,即对IP头中的源地址进行地址转换,一般是内网地址转为公网地址,主要用于内部主机访问外部网络。外部主机无法访问内网主机。 DNAT目的NAT,即对IP头中的目的地址进行地址转换,一般用于隐藏对外提供服务的网络设备的真实IP,提供服务的网络设备一般位于DMZ区域,外部用户可以通过公网地址访问该服务。 SNAT和DNAT一般在防火墙上开启。 ...
防火墙(二)SNAT和DNAT
weixin_34228617的博客
07-03 244
防火墙(一)主机型防火墙  DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映谢。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映谢。  SNAT内网访问 外网客户端ip地址 网关指向server的eth0 网卡server的2块网卡ip地址server0的网卡ip地...
Linux——SNAT与DNAT应用
cxin1225的博客
05-23 663
DNAT 的全称为Destination Network Address Translation目的地址转换,常用于防火墙中DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问DNAT 应用环境:在Internet中发布位于局域网内的服务器
SNAT和DNAT策略应用
weixin_50344820的博客
11-27 188
文章目录一、SNAT与DNAT策略1.1 作用1.2 实现原理二、实操2.1 脚本来制作pxe服务器上的配置2.2 防火墙的配置3.3 客户机上的操作 一、SNAT与DNAT策略 1.1 作用 局域网主机共享单个公网IP地址接入Internet 源地址转换,Source Network Address Translation 修改数据包的源地址 局域网共享上网 1.2 实现原理 二、实操 pxe服务器上需要配置服务,来供客户机进行系统的安装,因为不在同一个网段,所以防火墙需要做地址的分发以及iptab
VMware之SNAT与DNAT.docx
01-03
下面我们将深入探讨 SNAT 和 DNAT 的概念、工作原理以及它们在 VMware 环境中的应用。 首先,让我们来理解 SNAT。SNAT 主要用于解决多台内部网络设备共享一个公共 IP 地址访问外部网络的问题。在企业环境中,由于...
简简单单,SNAT与DNAT的概述
Demo_lu的博客
05-30 330
这里写目录标题一、SNAT原理与应用二、DNAT原理:修改数据包的目的地址三、防火墙规则的备份和还原四、SNAT实验五、DNAT实验 一、SNAT原理与应用 SNAT应用环境:局域网主机共享单个公网IP地址接入Internet (私有1P不能在Internet中正常路由)SNAT原理:修改数据包的源地址。SNAT转换前提条件: 1、局域网各主机已正确设置 IP 地址、子网掩码、默认网关地址 2、Linux网关开启IP路由转发 临时打开: echo 1> /proc/sys/net/ipv4/ip_fo
iptables防火墙之SNAT与DNAT
weixin_67582338的博客
05-12 3428
一、SNAT策略应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.1.2 SNAT 原理 (1)源地址转换 (2)修改数据包的源IP地址,通常被叫做源映射。 1.1.3 SNAT 转换前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 Linux系统本身是没有转发功能,只有路由发送数据。 1.2 开启SNAT的命
SNAT与DNAT
SHENxuehebinghua的博客
05-13 660
一、SNAT策略 1.SNAT策略的典型应用环境 局域网主机共享单个公网ip地址接入Internet 2.SNAT策略的原理
SNAT策略与DNAT策略的介绍与实际应用分析
weixin_42449832的博客
11-27 717
SNAT策略,原理是修改数据包中的源IP地址,可以实现局域网共享上网。配置的表及链有nat表中的POSTROUTING;DNAT策略,原理修改数据包中的目标IP地址,将位于企业局域网中的服务器进行发布。配置的表及链有nat表中的PREROUTING链上。
SNAT和DNAT原理及应用
m0_71931851的博客
09-20 5547
SNAT和DNAT原理及应用
详细分析SNAT和DNAT原理与应用
热门推荐
码海小虾米_的博客
05-25 1万+
SNAT原理与应用一、 SNAT原理的应用1.1 原因环境和原理1.2 开启SNAT的命令1.3 SNAT转换1.3.1 SNAT转换1∶固定的公网IP地址∶1.3.2 SNAT实验1.3.3 SNAT转换2: 非固定的公网IP地址 (共享动态IP地址);二、 DNAT原理的应用2.1 DNAT的工作原理2.2 DNAT转换前提条件2.3 DNAT转换1∶ 发布内网的Web服务2.4 DNAT转换2∶ 发布时修改目标端口2.5 防火墙规则的备份和还原三、Linux抓包 一、 SNAT原理的应用 1.1 原
奇葩网络之-配置NAT 双转换(DNAT+SNAT)
_Dong的博客
03-08 1168
问题 :由于AR3设备无法配置网关导致单纯的DNAT 无法实现外部设配和AR3 通讯.因此提出解决方案 DNAT+SNAT. 目的: AR2 通过虚拟地址10.16.32.1 ,访问AR3. 数据流量方向 :入向DNAT+SNAT,类似使用AR1 代理请求AR3 配置AR3 interface GigabitEthernet0/0/1 ip address 192.168.0.2 255.255.255.0 开启telnet user-interface vty 0 4 authentication-m
SNAT 与 DNAT
qq_57093716的博客
02-18 2060
分离解析,你牛!
Linux防火墙:SNAT和DNAT地址转换操作
最新发布
十七拾的博客
02-19 1472
本文详细介绍了NAT的SNAT和DNAT,及其相关的实验操作,希望对你有帮助!
网络地址转换中DNAT和SNAT的区别与应用
chenmuchen_的博客
07-10 4787
当数据包从外部网络传输到内部网络时,DNAT会将数据包中的目标IP地址和端口号替换为内部网络中对应的IP地址和端口号,以便正确地将数据包传递给内部主机。当数据包从内部网络传输到外部网络时,SNAT会将数据包中的源IP地址和端口号替换为NAT设备所使用的公共IP地址和端口号,以便在外部网络上进行传输和响应。它们在实现内部网络与外部网络之间的通信时发挥着不同的作用。通过将内部网络中的私有IP地址和端口号转换为可路由的公共IP地址和端口号,使得内部网络的数据能够在Internet上进行传输,并获得正确的响应。
SNAT规则和DNAT规则
06-10
SNAT规则和DNAT规则是网络地址转换(NAT)技术中常用的两种规则。 SNAT(Source Network Address Translation)规则是将源IP...总之,SNAT规则和DNAT规则都是用来实现网络地址转换的技术,但是它们的应用场景不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值