Linux iptables实现(SNAT)源地址转换以及http访问控制

已于 2022-11-19 12:00:56 修改
阅读量2.8k 收藏 10
点赞数 3
文章标签: linux 服务器 运维
于 2022-11-19 11:45:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39330735/article/details/127932575
版权

一、实现拓扑

二、实验要求        

        1、实验要求SNAT:内网主机访问外网主机,通过iptables进行原地址转换,允许访问外网的httpd和ping

        2、外网主机访问内网主机的http服务通过iptables进行目的地址(DNAT)转换

        3、仅允许内网主机使用ssh远程管理iptabels通过vm1通过vm1接口进行管理,不允许其他主机通过任何端口进行ssh管理

三、实验准备 

准备三台虚拟机;虚拟机修改名称可以用

1、方法:hostname 名称  ;然后bash刷新一下就有

[root@InComputer~]#  内网主机 A

[root@iptables~]#   防火墙

[root@OutComputer ~]#   外网主机 B

2、先把前置服务安装好,待会要修改网卡配置,会导致下载服务不方便

内网主机

[root@InCompiter ~]# yum -y install httpd   #安装httpd服务

[root@InCompiter ~]# systemctl start httpd   #开启服务

[root@InCompiter ~]# systemctl stop firewalld      #关闭自带防火墙,方便配置
[root@InCompiter ~]# systemctl disable firewalld  #关闭防火墙开机启动

外网主机

[root@OutCompiter ~]# yum -y install httpd #安装httpd服务

[root@OutCompiter ~]# systemctl start httpd   #开启服务

[root@OutComputer ~]# systemctl stop firewalld
[root@OutComputer ~]# systemctl disable firewalld

防火墙主机

[root@iptabels ~]# yum -y install iptables-services #安装iptables

[root@iptabels ~]# systemctl stop firewalld     #关闭默认firewalld防火墙
[root@iptabels ~]# systemctl disable firewalld
[root@iptabels ~]# systemctl start iptables     #启用iptables

[root@iptabels ~]# systemctl status iptables   #查看是否正常启动,如下


3、安装完成后用本地测试

[root@OutComputer ~]# curl http://192.168.12.137  #访问内网主机的HTTP默认页面

 两台主机可以相互访问一下

四、修改网卡(注意要先把所有软件装好,第三部确认无误,再修改)

1、内网主机网卡设置成Vm1(修改后你的xshell会断开)

 1.1修改完网卡后需要去配置静态ip

[root@InCompiter ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33

 [root@InCompiter ~]#systemctl restart network   #重启网卡

1.2查看ip是否配置成功

[root@InCompiter ~]#ip addr

2、外网主机网卡设置成Vm2

 2.2修改网卡配置,配置静态IP

[root@OutComputer ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33

 [root@OutComputer ~]#systemctl restart network   #重启网卡

2.3查看Ip是否配置成功

[root@OutComputer ~]#ip addr

 3.防火墙配置,因为防火墙需要转发,所以配置两张网卡(VM1和VM2)

注意这里虽然生成了新的网卡,但是没有生成对应的网卡配置文件

[root@iptabels ~]#cd /etc/sysconfig/network-scripts  #进入到网卡配置文件

[root@iptabels ~]#cp -p ifcf-ens33 ifcfg-ens36   #复制并改名36

配置ens33网卡(内网)

[root@iptabels ~]#vi ifcfg-ens33

[root@iptabels ~]#vi ifcfg-ens36

 [root@iptabels ~]#systemctl restart network   #重启网卡

结果查看

实验要求一(实验要求SNAT:内网主机访问外网主机,通过iptables进行原地址转换,允许访问外网的httpd和ping)

 五、iptables配置

 1、开启防火墙转发功能(两个方法二选一即可)

 方法一:

[root@iptabels ~]#echo net.ipv4.ip_forward = 1 >> /etc/sysctl.conf  #修改内核配置文件

[root@iptabels ~]#source /etc/sysctl.conf

 方法二:[root@iptabels ~]#echo 1 >> /proc/sys/net/ipv4/ip_forward #修改内核配置文件,临时配置,立即生效

配置完成后,现在内网主机是没办法访问外网.45.60主机的

2、iptables流量转发配置

2.1#配置防火墙允许转发

[root@iptabels ~]#iptables -I FORWARD -p tcp --dport 80 -j ACCEPT

2.2#配置SNAT源地址转换        这里是大写的 -i               指定被转发的网段 (-o指定出站网卡)

[root@iptabels ~]#iptables -t nat -I POSTROUTING -s 192.168.10.0/24 -o ens36 -j SNAT --to-source 23.34.45.56

——————此时流量以及可以到达外网的主机,但是回包时候被防火墙拦截————

2.3配置防火墙回包的转发

[root@iptabels ~]#iptables -I FORWARD -p tcp --sport 80 -j ACCEPT  #指定源80端口

  此时Vm1已经可以访问外网Vm2的http服务,已经可以访问默认页面

2.4配置Ping(目前无法ping通)

 

 [root@iptabels ~]#iptables -I FORWARD -p icmp -j ACCEPT

验证:(实验要求1完成)

实验要求二(外网主机访问内网主机的http服务通过iptables进行目的地址(DNAT)转换)

一、配置DNAT转换

 [root@iptabels ~]#iptables -t nat -I PREROUTING -i ens36 -d 23.34.45.56 -p tcp --dport 80 -j DNAT --to-destination 192.168.10.10

验证:成功访问内网httpd服务

实验要求三(仅允许内网主机使用ssh远程管理iptabels通过vm1通过vm1接口进行管理,不允许其他主机通过任何端口进行ssh管理

一、查看防火墙原始配置

1、[root@iptabels ~]#iptables -nL

这里可以看到这条策略默认是允许所有tcp链接来访问22号端口,并没有做限制,所以要把它删除

[root@iptabels ~]#iptables -D INPUT 4

 ————此时所有主机已经都无法通过ssh链接

2、配置允许通过内网网卡来访问,并且指定目的Ip

[root@iptabels ~]#iptables -I INPUT -p tcp --dport 22 -i ens33 -d 192.168.10.254 -j ACCEPT

 验证:内网访问

验证:外网访问

 DONE

W金刚葫芦娃W
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables防火墙之SNAT与DNAT
gfbcdgbb的博客
03-19 665
局域网主机共享单个公网IP地址接入Internet。
iptables实现内外网相互访问——SNAT与DNAT的原理与应用
zcien的博客
02-14 1351
SNAT与DNAT的原理与应用
iptables实现内外网相互访问 SNAT与DNAT的原理与应用
穷则独善其身 达则兼善天下
05-25 686
SNAT与DNAT原理应用一.SNAT原理与应用① SNAT应用环境② SNAT原理③ SNAT转换前提条件④ SNAT转换1:固定的公网IP地址:⑤ SNAT转换2:非固定的公网IP地址(共享动态IP地址) :**举例**二.DNAT原理与应用DNAT转换前提条件:DNAT转换1:发布内网的Web服务DNAT转换2:发布时修改目标端口三.防火墙规则的备份和还原四.Linux抓包 一.SNAT原理与应用 ① SNAT应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Interne
iptables 地址、目标地址转换
2302_78534730的博客
09-13 943
现在反过来用web来ping客户机,结果是失败的,那么该怎么操作呢?重启网络 systemctl restart network。首先为了体现效果,在客户机上上安装httpd服务。测试防火墙能否ping通客户机和web。安装、测试httpd。
SNAT(地址转换)
weixin_43965383的博客
12-05 990
防火墙NAT策略之地址转换
Linuxiptables 防火墙(SNAT/DNAT)
h15162064289的博客
05-30 1638
DNAT 的全称为Destination Network Address Translation目的地址转换,常用于防火墙中DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为地址访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问DNAT 应用环境:在Internet中发布位于局域网内的服务器。
基于Linux地址转换技术探讨和实现.zip
09-17
Linux操作系统中,地址转换技术是一项至关重要的网络功能,它涉及到IP层的网络通信和内存管理。本讨论主要聚焦于两种关键的地址转换技术:网络地址转换(Network Address Translation, NAT)和内存地址转换...
Linux下多网段Nat实现与应用.pdf
09-06
这通常包括SNAT地址转换)和DNAT(目标地址转换)。SNAT用于将内部网络的IP地址转换为对外的公共IP地址,而DNAT则用于将外部网络的请求重定向到内部网络中的特定主机。 在实际应用中,Linux下的多网段NAT不仅能...
Linux NAT环境下上行流量控制方法.pdf
09-06
SNAT将私网IP地址转换为公网IP地址,所以TC需要在私网接口(如eth0)而不是公网接口(如ethl)上进行控制。对于上行流量,TC会在公网接口处应用带宽限制,这时需要依赖其他机制,如mark标记和iptables规则,来识别...
LINUX下的网络地址变换(NAT).pdf
09-06
通过以上步骤,Linux系统就可以实现基本的NAT功能,从而实现网络地址转换,使得内部网络的设备可以访问外部网络,并对外隐藏内部网络结构,增强网络安全性。同时,NAT技术也有助于解决公网IP地址短缺的问题,是现代...
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
nat 表典型应用包括 SNAT网络地址转换)、DNAT(目的网络地址转换)、MASQUERADE(地址伪装)等。nat 表典型应用可以实现对网络流量的控制转换。 五、总结和答疑 通过本节课程的学习,学生将掌握 iptables ...
(CentOS7)iptables之网络地址转换NAT实验(SNAT、DNAT)
coderge's CSDN Blog.
09-03 3751
实验拓扑图 1 实验环境配置 可以参考这篇文章 :https://blog.csdn.net/Drifter_Galaxy/article/details/108366661的静态IP、子网掩码、网关配置、路由配置 部分,跟着做,配置好实验环境。 win7: Cent1: Cent2: 2 NAT是做什么的 NAT,即网络地址转换。 第一回合 现在win7想要访问Cent2的Web服务 80端口,就会构造出一个数据包 tcp协议 s:192.168.1.1 d:12.34.5...
linux防火墙】设置开启路由转发,SNAT和DNAT转换原理及应用实操,添加自定义链归类iptables规则
最新发布
liu_xueyin的博客
11-30 1257
#指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链中,作用到ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略。
iptables防火墙中的SNAT和DNAT
chenx2022的博客
05-21 1576
∶局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)∶修改数据包的地址。∶。
iptables防火墙 (SNAT、DNAT)
Y_S_J_112的博客
09-25 1292
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)局域网共享上网未作SNAT转换时的情况进行SNAT转换后的情况。
网络地址转换
m0_62017216的博客
03-14 284
HCIE
iptables 防火墙中的SNAT和DNAT
WuDan_1112的博客
05-11 1319
前言 通过上一章的学习,我们认识了防火墙的表、链结构,并学会了简单的编写防火墙的规则。Linux 防火墙在很多的时候承担着连接企业内、外网的重任,除了提供数据包过滤以外,还提供一些基本的网关应用。下面我们将了解防火墙中的SNAT 和DNAT策略。 一、SNAT策略 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT原理 地址转换(Source Network Address Translation),根据指
iptables配置NAT实现端口转发与ss命令的讲解
热门推荐
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
SNAT地址转换基本概念以及应用
江晓龙的博客
07-11 2018
所谓的SNAT地址转换的意思指的是修改数据包中的地址信息,典型的应用场景就是带动局域网主机上网,如下图所示,公司有很多台电脑,都需要上网,这时就可以在防火墙中配置一个SNAT地址转换,某个网段进入防火墙后通过SNAT修改地址信息,修改为防火墙的公网地址,由防火墙去互联网环境中请求数据,最后返回给公司电脑,带动局域网上网。SNAT地址转换的应用场景:SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的地址
iptables SNAT DNAT
07-28
iptables是一个在Linux系统上用于配置防火墙规则的工具。SNAT和DNAT是iptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。 DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址。它通常用于将公共网络上的目标IP地址转换为内部网络的私有IP地址,以便数据包可以正确地被内部网络中的主机接收。 这些选项在iptables规则中使用,可以按照特定的条件对数据包进行转换和定向,以实现网络流量的控制和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值