iptables管理NAT表

最新推荐文章于 2024-05-14 07:34:16 发布
最新推荐文章于 2024-05-14 07:34:16 发布
阅读量1.3w 收藏 12
点赞数 2
分类专栏: Linux运维笔记 文章标签: NAT Forward iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36294875/article/details/80105936
版权

  • 介绍使用iptables管理NAT表

    server24.com作为网关设备提供172.25.23.24/24以及192.168.10.100/24两个不同网段的网络接口;
    server20.com工作在192.168.10.10/24并且将192.168.10.100/24作为网关;
    server21.com工作在172.25.23.24/24,并且将172.25.23.24/24作为网关;

  • 前面的实验通过ip_forward打开实现了网卡见转发数据报文的功能,当年时很多情况下,公网IP价格昂贵,并且即使通过了进行路由,数据包可以发送出去,但是不能够受到响应报文,这就是需要进行地址转换的原因;

  • 对于内网主机需要借助于网关的公网IP来访问公网主机时,就需要进行SNAT,也就是源地址转换,对于返回的数据报文经过NAT服务器时,会通过查询NAT表,自动的进行DNAT的转换,这是不需要手动进行干预的,修改后的数据报文根据路由表的信息来选择对应的网卡端口转发数据报文信息;

  • 源地址转换

  • 源地址转换可以在POSTROUTING OUTPUT上面进行,但是对于网关设备只能够在POSTROUTING上面进行
  • SNAT:
    • --to-source:用于标识转换成哪一个源地址,通常数某个网关的地址,或者是路由器设备某个接口的位置;
  • 通过在模拟网关设备server24.com上面添加SNAT规则修改192.168.10.10/24的地址为172.25.23.24/24实现和server21.com进行通信
[root@server24 ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.25.23.24
  • 查看添加的规则
    这里写图片描述
  • 通过server20.com,IP192.168.10.10/24尝试ping另一个网段的主机172.25.23.24/24,这里还是需要打开的网卡间转发的,也就是ip_forward
    这里写图片描述
  • 接下来通过抓包来分析区别,地址区别数据包来源地址的的区别:
  • 这张图片是使用SNAT的图片
    这里写图片描述
  • 这张图片是没有使用SNAT的图片
    这里写图片描述

  • 通过对比发现通过SNAT之后数据包返回的地址发生了改变,而这个正是需要的;

  • 接下来删除server21.com上面关于指向172.25.23.24/24的网关信息,先尝试使用server20.com通过SNAT ping server21.com;

  • 删除网关信息
    这里写图片描述

  • 验证server20.com ping server21.com是否正常
    这里写图片描述
  • 反向验证server20.com ping server21.com这个肯定是不能够ping成功的,因为没有确切的网关;
    这里写图片描述
  • 上面添加的SNAT规则就可以实现数据包在网络上面进行数据传输,并且只需要修改自己的网关,就可以;
  • 对于使用拨号上网的可以使用,通常拨号上网IP都是通过DHCP服务器来进行分配的
iptables -t nat -A POSTROUTING -s 172.25.23.0/24 -j SNAT MASQUERADE[效率低]
  • 如果需要限制内网用户访问外网的某些情况,需要在FORWARD上面添加规则
[root@server24 ~]# iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
[root@server24 ~]# iptables -A FORWARD -s 192.168.10.0/24 -p tcp --dport 80 -m state --state  NEW -j ACCEPT
[root@server24 ~]# iptables -A FORWARD -s 192.168.10.0/24 -p icmp --icmp-type 8 -m state --state NEW -j ACCEPT
  • 接下来在server21.com上面安装httpd服务,并且提供默认的配置页面
[root@server21 ~]# yum install httpd -y
[root@server21 ~]# echo "hello SNAT" > /var/www/html/index.html 
[root@server21 ~]# /etc/init.d/httpd start
  • 然后在server20.com上面通过elinks命令来访问,得到的下面页面
    这里写图片描述
  • 接下来添加vsftpd服务,并且添加FORWARD链上面的规则
  • 首先安装vsftpd,并且进行启动
[root@server21 ~]# yum install vsftpd -y 
[root@server21 ~]# /etc/init.d/vsftpd start
Starting vsftpd for vsftpd:                                [  OK  ]
  • 接下来在server24.comFORWARD上面添加对应的规则
[root@server24 ~]# iptables -R FORWARD 1 -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@server24 ~]# iptables -A FORWARD -s 192.168.10.0/24 -p tcp --dport 21 -m state --state  NEW -j ACCEPT

  • 查看规则如下
    这里写图片描述

  • 接下来使用ftp来访问ftp服务器

这里写图片描述

  • 如果登录成功,数据连接失败,需要手动添加模块
[root@server24 ~]# modprobe ip_nat_ftp
  • 或者直接将上面的信息添加进入iptables的配置文件中
[root@server24 ~]#  vim /etc/sysconfig/iptables-config
IPTABLES_MODULES="ip_nat_ftp ip_conntrack_ftp"
  • 关于目标地址转换
  • 简单来讲,私有网络需要通过网关代理访问共有网络的web服务时,我们需要进行SNAT服服务,反过来,如果我们需要将两台提供不同服务的私有网络服务器通过网关代理提供给公有网络进行访问,就需要进DNAT转换;
  • 因为公网IP不廉价的,大多数情况下,希望于通过一个公网IP的不同端口代理不同的后台服务;
  • 对于SNAT来说会自动进行DNAT,同样的对于DNAT会自动进行SNAT;

规划
三台Linux主机:
server21.com作为内网,用于提供服务
server24.com作为为i内网提供服务的网关,并且需要提供DNAT服务;
server20.com 作为来自公网的互联网主机,虽然是局域网IP,这里单纯的假设一下

  • 因为需要的服务已经在server21.com上面配置正常了,接下来需要修改的是iptables NAT的规则
  • 首先清除上面的规则
[root@server24 ~]# iptables -t nat -F 
[root@server24 ~]# iptables -F 
[root@server24 ~]# iptables -P FORWARD ACCEPT
  • 如果双方的网关正常的指向server24.com对应的网络接口的位置,相关的服务是可以正常访问的,因为是通过路由的方式进行数据交换的

这里写图片描述

这里写图片描述

  • 首先来删除servr20.com192.168.10.0/24的网关,因为实际上是一个外网地址,实际上是通过路由,路由到192.168.10.100这个地址的,对于server21.com172.25.23.24/24这个网关地址需要保留

这里写图片描述

  • 现在的访问肯定是失败的,接下来进行目标地址转化
[root@server24 ~]# iptables -t nat -A PREROUTING -d 192.168.10.100 -p tcp --dport 80 -j DNAT --to-destination 172.25.23.21
  • 然后在server20.com上面通过elinks来访问192.168.10.100
    这里写图片描述
  • 这里为了防止192.168.10.100本身的Web服务影响实验,所以首先听掉server24.com上面的服务;
[root@server24 ~]# /etc/init.d/httpd status
httpd is stopped
  • 验证DNAT将端口进行转换
  • 尝试更改DNAT之前请求的端口为80,提供服务的主机的端口为8080,然后尝试使用DNAT进行地址转换
  • 首先更改server21.com 172.25.23.21上面的服务端口为8080
[root@server21 ~]# vim  /etc/httpd/conf/httpd.conf
Listen 8080
[root@server21 ~]# /etc/init.d/httpd restart
  • 查看端口是否启动正常
    这里写图片描述
  • 接下来更改server24.com上面的nat规则
[root@server24 ~]# iptables -t nat -R PREROUTING 1 -d 192.168.10.100 -p tcp --dport 80 -j DNAT --to-destination 172.25.23.21:8080
  • 查看修改后的规则
    这里写图片描述

  • 尝试进行修改后的连接
    这里写图片描述

  • 在上面配置网络的过程中ip_forward的值在重新启动网络服务,之后,会变为0,这个需要特别的注意,可以通过配置文件进行更改,这样重新启动网络服务时,会读取配置文件里面的定义

  • 尝试在FORWARD链上面添加规则,过滤某些关键字

[root@server24 ~]# iptables -A FORWARD -m string --algo kmp --string "h7n9" -j DROP
  • 同时更改页面的发布内容
[root@server21 ~]# cat /var/www/html/index.html
hello DNAT PORT h7n9
  • 然后尝试通过elinks进行访问

这里写图片描述

  • 然后删除关键字.验证进行访问
[root@server21 ~]# cat /var/www/html/index.html
hello DNAT PORT
  • 页面访问正常
    这里写图片描述
bug--maker
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptablesNAT
独孤柯灵的博客
11-24 7393
iptablesNAT
iptables实现NAT
danssion的专栏
06-25 403
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <div id="content" class= "content mod-cs-content text-content clearfix">1.概述 1.1
iptablesnat的配置与管理
12-29
iptablesnat的配置与管理,对于iptables的配置与管理都有一定的基础。
netstat命令解析
赵凯月的博客
04-29 795
netstat
2024年最新[Linux用户空间编程-5]:用IPTable实现NAT功能_iptable nat,看这篇文章就行了
最新发布
2401_85013273的博客
05-14 714
netfilter是Linux 核心中一个通用架构,它提供了一系列的""(tables),每个由若干"链"(chains)组成,而每条链中可以有一条或数条规则(rule)组 成。并且系统缺省的**是"filter"。**因为系统缺省的是"filter",所以在使用filter功能时,我们没有必要显式的指明"-t filter"。但在使用NAT的时候,我们所使用的不再是"filter",而是"nat",所以我们必须使用**"-t nat**"选项来显式地指明这一点。
iptables+NAT专题学习(kvm+VMware)
tiging的博客
03-24 5132
iptables基础操作(必学) ## 查看规则 iptables -nL iptables -nL -t nat iptables -nL -v --line-numbers -t filter filter带行号带流量数据 iptables -nL --line-numbers 带行号 ## 删除指定指定链的指定行数据 iptables -t nat -D POSTROUTING 1 iptables -D FORWARD 7 -t filter ## 清空所有规则【...
iptablesnat的学习和实验
北风
01-12 2204
本次实验接着上一篇博客《iptables之filter的学习和实验》进行(https://blog.csdn.net/weixin_40042248/article/details/112477946),主要实现iptablesnat的功能。 实验目标:实现在ns1空间访问其他的外部网址、添加nat规则后对数据抓包分析ns1访问ns2或者ns3的过程、实现ns1访问www.baidu.com。 理论知识补充: 1、什么是NATnat:Network Address Translatin,网
Linux之iptablesNAT)讲解篇
Jian Sun_的博客
01-03 709
假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变,而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址,这个时候如果按照现在的方式来配置iptables就会出现问题了,因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的,每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip,这样是非常不好用的。是snat中的一种特例,可以实现自动化的SNAT
Linux防火墙——iptables(SNAT与DNAT详细)
oyyy3的博客
11-02 6129
一.SNAT 1.原理 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的及链:nat中的POSTROUTING 2.转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 linxu想系统本身是没有转发功能 只有路由发送数据 tips:一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...
Linux下使用Iptables配置NAT防火墙
06-19
Linux下使用Iptables配置NAT防火墙分析防火墙技术原理和防火墙类别,结合校园网实际设计使用Linux下的Iptables 防火墙NAT 方案,能够实现NAT和对网络进行用户管理和信息过滤,并能防范一定的网络攻击手段和防病毒...
10.6: iptables防火墙 、 filter控制 、 扩展匹配 、 nat典型应用 、 总结和答疑.docx
03-05
Linux 防火墙管理iptables 防火墙、filter 控制、扩展匹配、nat 典型应用 本节课程将深入介绍 Linux 防火墙管理中的 iptables 防火墙、filter 控制、扩展匹配、nat 典型应用。通过学习本节课程,学生将...
详解Linux iptables 命令
09-15
Linux iptables命令是Linux系统管理员用来管理IPv4数据包过滤和网络地址转换(NAT)的重要工具。它允许用户在操作系统内核的netfilter框架下设置规则,以控制网络流量的流入、流出和转发。iptables提供了高度灵活的...
Linux之iptablesNAT)——实验篇
qq_62311779的博客
06-17 2585
一、SNAT(源地址转换)——实验设备:—— 实现目的:——实验拓扑:——实验配置: (1) windows设置IP地址及网关:(2) 配置linux网关服务器网卡及ip:(3) 配置linux web服务器网卡及ip:(4) Linux网关服务器写入规则:(5)验证:windows访问web服务:二、出现问题及解决 :MASQUERADE(IP伪装)​​​​​​​三、DNAT(目标地址转换) ——实验目标:——实验设备:——实验拓扑: ——实验原理:—— Linux 网关服务器配置: (3)
判断自己网络所在的NAT类型
qq_48081868的博客
08-14 1万+
判断自己计算机网络所在NAT的类型
iptables命令详解
ZBraveHeart的博客
03-22 4193
Netfilter框架在Linux内核中通过一系列的钩子(hooks)实现数据包处理的不同阶段,iptables就可以通过这些钩子来插入自定义的规则,从而实现对数据包的控制。在Linux环境下,iptables就是一款强大而灵活的防火墙工具,它为系统管理员提供了广泛的配置选项,能够有效地控制数据包的流动,实现网络访问的控制和安全性增强。这个命令将通过本机出口的TCP数据包的目标端口为80的流量转发到192.168.1.200,而不改变目标端口。它可以用于改变数据包的目标地址,源地址,目标端口或源端口。
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+与链概述+iptables命令参数+配置filter规则+NAT实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 9312
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开源软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿里云业务的防火墙安全组等等。
如何快速判断自己的网络NAT类型
热门推荐
D3_3109的博客
08-23 9万+
NAT0: OpenInternet,没有经过NAT地址转换,公网IP NAT1: Full Cone NAT,动态家宽可以达到最优的状态,外网设备可以主动发信息给NAT1网络内的设备。 NAT2: Address-Restricted Cone NAT,只有内网设备(地址:任意端口)主动发过信息给外网设备,外网设备才能主动连接NAT2的该设备的地址(地址:任意端口) NAT3: Port-Restricted Cone NAT,只有内网设备(地址:指定端口)主动发过信息给外网设备,外网设备才能主动连接NA
【docker】iptables实现NAT
morris
11-18 3万+
iptables是一个Linux内核中的防火墙工具,可以被用来执行各种网络相关的任务,如过滤、NAT和端口转发等,可以监控、过滤和重定向网络流量。
iptables nat 端口转发
11-03
iptables是Linux系统中的一个防火墙工具,它可以用于配置和管理网络规则。其中,natiptables中的一个重要,用于实现网络地址转换(NAT)功能。端口转发是NAT的一种应用,它可以将来自外部网络的请求转发到内部网络的指定端口上,从而实现内网服务对外提供访问的功能。iptables nat端口转发可以通过在nat中添加PREROUTING和OUTPUT规则来实现。其中,PREROUTING规则用于转发来自外部网络的请求,而OUTPUT规则用于转发本地发起的请求。具体的命令如下: ``` iptables -t nat -A PREROUTING -p tcp --dport 外部端口 -j REDIRECT --to-ports 内部端口 iptables -t nat -A OUTPUT -p tcp --dport 外部端口 -j REDIRECT --to-ports 内部端口 ``` 其中,-t参数指定名为nat,-A参数示添加规则,-p参数指定协议为tcp,--dport参数指定外部端口,-j参数指定动作为REDIRECT,--to-ports参数指定内部端口。这样,当有请求到达外部端口时,iptables会将其转发到内部端口上,从而实现端口转发的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值