网络SNAT与DNAT防火墙之iptables

最新推荐文章于 2023-05-08 15:46:31 发布
最新推荐文章于 2023-05-08 15:46:31 发布
阅读量342 收藏 1
点赞数
分类专栏: 软件防火墙之iptables 文章标签: iptables linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38419276/article/details/116567344
版权

iptables/netfilter

利用filter表的FORWARD链,可以充当网络防火墙:

注意的问题:

(1) 请求-响应报文均会经由FORWARD链,要注意规则的方向性
(2) 如果要启用conntrack机制,建议将双方向的状态为ESTABLISHED的报文直接放行

NAT的实现分为下面类型:

SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问
外部网络,实现地址伪装,请求报文:修改源IP

DNAT:destination NAT 支持PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外
部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改目标IP

PNAT: port nat,端口和IP都进行修改

环境准备:

web1服务器:172.31.0.17
web2服务器:172.31.0.27
模拟外网:192.168.0.100  # 仅主机模式
防火墙服务器:172.31.0.37  # 添加一个网卡仅主机模式192.168.0.106

两台web安装软件:

# 安装并启动
[root@localhost ~]# yum install httpd -y ; echo 172.31.0.17 > /var/www/html/index.html;systemctl start httpd

[root@localhost ~]# yum install httpd -y ; echo 172.31.0.27 > /var/www/html/index.html;systemctl start httpd

# 两台web的网关必须指向防火墙服务器的eth0网卡
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         172.31.0.37     0.0.0.0         UG    100    0        0 eth0
172.31.0.0      0.0.0.0         255.255.0.0     U     100    0        0 eth0

配置防火墙服务器

# 172.31.0.37
# 开启路由转发功能
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
[root@localhost ~]# sysctl -p
net.ipv4.ip_forward = 1

tcpdump抓包分析问题

# 172.31.0.27
[root@localhost ~]# tcpdump -i eth0 -nn icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
21:48:08.680084 IP 192.168.0.100 > 172.31.0.27: ICMP echo request, id 2237, seq 1, length 64
21:48:08.680693 IP 172.31.0.27 > 192.168.0.100: ICMP echo reply, id 2237, seq 1, length 64
21:48:09.721779 IP 192.168.0.100 > 172.31.0.27: ICMP echo request, id 2237, seq 2, length 64
21:48:09.721947 IP 172.31.0.27 > 192.168.0.100: ICMP echo reply, id 2237, seq 2, length 64

最低0.47元/天 解锁文章
LK丶旋律
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux-防火墙-iptables 的四表五链和SNAT与DNAT详解(理论加实验)
BIGmustang的博客
08-02 1074
文章目录前言:一 . Liunx包过滤防火墙概述:1. Netiflter介绍2. iptables的表,链结构2.2 默认包括4个规则表二.数据包过滤的匹配流程:2.1规则表之间的顺序:2.2 规则链内的匹配顺序三. iptables 安装与命令使用3.1 iptables安装与关闭3.2 iptables的基本语法:3.3 查看规则列表:3.5规则的匹配条件:3.6常用的隐含匹配条件端口匹配:3.7 常用的显示匹配条件四 .SNAT与DNAT策略概述及实验4.1 SNAT 原理4.2 SNAT策略实验
iptables防火墙(包含SNAT和DNAT
weixin_49780168的博客
11-18 978
目录Linux包过滤防火墙概述iptables的表、链结构规则链规则表数据包过滤的匹配流程规则表之间的顺序规则链内的匹配顺序iptables安装iptables的基本语法语法结构注意事项数据包的常见控制类型iptables的常用选项添加新的规则查看规则列表删除、清空规则设置默认策略规则的匹配条件通用匹配隐含匹配显式匹配常见的通用匹配条件常用的隐含匹配条件常用的显示匹配条件常用管理选项汇总 Linux包过滤防火墙概述 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"
k8s跨node curl 访问不通问题排查解决
weixin_43804233的博客
05-08 2322
参考连接:问题是这样的:三台云服务器:部署了三个master+三个node,发现在其中一台master上,验证能够正常访问其他工作节点上的pod。发现curl 不了,只能curl分配到本机的pod,后面才发现是路由转发策略问题导致!一下是步骤和解决方式:Chain FORWARD (policy DROP) 是 Linux iptables 防火墙中的一个规则链,用于控制转发流量的访问。
iptables无效 telnet Connection refused No route to host
小彩电专栏
07-25 1425
设置iptables 能用iptables -L查看已经起效果 但telnet还是不通 ----- iptables只是防火墙端口开启 但端口需要有对应的服务 telnet才通 ----- 怎么判断iptables的起效了呢? ----- 用window下cmd时的telnet是区别不出来的     C:\Users\admin>telnet 220.181.111....
DNAT(目的地址转换)-IP映射和端口映射
weixin_43965383的博客
12-05 3958
防火墙NAT策略之目的地址转换
iptables之SNAT和DNAT
最新发布
01-08
iptables、SNAT和DNAT实验
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》
06-01
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》,如何配置snat,dnat,等等
使用SNAT、DNAT策略实现网关应用
09-08
打开密码 www.clvn.com.cn
防火墙之SNAT和DNAT
FYR1018的博客
05-10 1667
1 SNAT 原理与应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
iptables规则中DNAT规则设置
实践求真知
11-22 4044
一 场景模拟     二 规则配置 [root@localhost ~]# iptables -t nat -A PREROUTING -d 10.10.188.232 -p tcp --dport 80 -j DNAT --to 10.10.177.233:80   三 测试  
iptables中DNAT的配置方法
热门推荐
08-02 3万+
1.一对一流量完全DNAT首先说一下网络环境,普通主机一台做防火墙用,网卡两块eth0 192.168.0.1  内网eth1 202.202.202.1 外网内网中一台主机 192.168.0.101现在要把外网访问202.202.202.1的所有流量映射到192.168.0.101上命令如下:#将防火墙改为转发模式echo 1 > /proc/sys/net/i
解决iptables DNAT不生效
CHEndorid的博客
07-05 9639
DNAT不生效,如果命令都是正确的,那么问题就出在操作不完整,只做了DNAT配置的一部分。完整步骤如下 0、场景介绍 192.168.1.81:ip81服务器上,启了一个nginx,端口80 192.168.1.57:ip57服务器,在这台上添加防火墙规则,让其他服务器能够通过ip57的800端口访问ip81的web服务 192.168.1.222:ip222服务器为同一内网中的验证服务器,验证DNAT是否配置成功 1、打开内核转发功能 echo "net.ipv4.ip_forward=1"
服务器Connection refused的解决方法(测试环境)
root_clive的博客
06-05 1万+
Unable to connect to remote host:Noroutetohost 通过下面的命令查看iptables规则 iptables -nvL--line-number 删除INPUT和FORWARD中的REJECT https://blog.csdn.net/ystyaoshengting/article/details/86482052 Unable to connect to remote host: Connection refused ...
iptables防火墙之SNAT与DNAT
weixin_67582338的博客
05-12 2973
一、SNAT策略及应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.1.2 SNAT 原理 (1)源地址转换 (2)修改数据包的源IP地址,通常被叫做源映射。 1.1.3 SNAT 转换前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 Linux系统本身是没有转发功能,只有路由发送数据。 1.2 开启SNAT的命
iptables实现网络防火墙(二)——SNAT与DNAT
Eumenides_s的博客
10-23 807
个人博客地址:http://www.pojun.tech/ 欢迎访问前言    在前面的文章中,我们曾经简单的介绍过Linux内核中防火墙的基本概念,以及四表五链的相关知识,可参看 LINUX 防火墙介绍。 并且也介绍了如何在Linux环境中搭建一个能够过滤协议和端口的简单网络防火墙,可以参看Linux实现网络防火墙(一)。    在实际生产应用中,防火墙的功能纷繁复杂,就像我们之前介绍的
ensp防火墙snat和dnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。...这些是基本的SNAT和DNAT配置示例,具体配置取决于你的网络需求和防火墙规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值