Linux网络—iptables防火墙原理及配置—NAT地址转换实验

最新推荐文章于 2024-05-21 21:00:08 发布
最新推荐文章于 2024-05-21 21:00:08 发布
阅读量1.3k 收藏 10
点赞数 1
分类专栏: Linux网络 文章标签: linux 防火墙 iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48191100/article/details/109485934
版权

目录

一、SNAT策略及应用

1.1 SNAT策略概述

  • SNAT策略的典型应用环境
  • 局域网主机共享单个公网IP地址接入Internet
  • SNAT策略的原理
  • 源地址转换,Source Network Address Translation
  • 修改数据包的源地址

1.2 SNAT的典型应用环境

  • 局域网共享上网
    应用环境

1.3 SNAT策略的工作原理

1.3.1 未作SNAT转换时的情况

未作SNAT转换时的情况
因为私网地址是不可以直接访问公网的,如果不做转换,路由那边会形成黑洞抹杀数据

1.3.2 进行SNAT转换后的情况(私网转公网)

进行SNAT转换后的情况(私网转公网)
首先局域网PC机向Web服务器发送服务请求,源ip为192.168.1.234,目标ip为58.63.236.45,因为SNAT策略,网关服务器在数据进行路由选择后处理数据包,然后将私网的源地址转换成公网的地址,访问公网Web服务器

二、DNAT策略及应用

2.1 DNAT策略概述

  • DNAT策略的典型应用环境
    • 在Internet中发布位于企业局域网内的服务器
  • DNAT策略的原理
    • 目标地址转换,Destination Network Address Translation
    • 修改数据包的目标地址

2.2 DNAT的典型应用环境

  • 在Internet中发布内网服务器
    在Internet中发布内网服务器

2.3 DNAT策略的工作原理

2.3.1 进行DNAT转换后的情况(公网转私网)

进行DNAT转换后的情况
客户机源地址:173.96.97.98 目标地址:218.29.30.31 向内网的Web服务器发出服务请求,因为DNAT策略,网关服务器在进行路由选择前处理数据包,将客户机数据的目标218.29.30.31换成192.168.1.6,这样就能访问私网服务器了

2.4 DNAT策略的应用

  • 前提条件
    • 局域网的Web服务器能够访问Internet
    • 网关的外网IP地址有正确的DNS解析记录
    • Linux网关支持IP路由转发
  • 实现方法示例:
[root@localhost ~]# iptables -t nat -A PREROUTING -i ens33-d 218.29.30.31-p tcp --dport 80 -j DNAT --to-destination 192.168.1.6
  • 发布时修改目标端口
    • 在DNAT规则中以“IP:Port”的形式指定目标地址
[root@localhost~]# iptables -t nat -A PREROUTING -i ens33-d 218.29.30.31-p tcp --dport 2346 -j DNAT --to-destination 192.168.1.6:22

三、规则的备份及还原

3.1保存防火墙规则

  • iptables-save
    • 由于iptables-save 命令只是把规则内容输出到屏幕上,因此当需要保存为固定的文件时,还需结合重定向输出的操作以完成备份。

3.2备份防火墙规则

  • iptables-save > /opt/iprules_all.txt
    • 将iptables规则保存到opt目录里iprules_all.txt

3.3 导入(还原)规则

  • iptables-restore < /opt/iprules_all.txt
    • 将保存了规则的文本导入到iptables里面

3.4 清空所有防火墙规则

  • 停用iptables服务即可一次清空所有表的规则
systemctl  stop iptables
systemctl  status iptables

3.5 设置具体的iptables规则

  • 清理已有的规则
    • 为了避免已有的防火墙规则造成干扰,通常会预先安排一个“清理”操作,删除所有表中用户自定义的链,清空所有链内的规则
$IPT   -t  filter  -X   //删除各表中自定义的链
$IPT   -t  filter  -F   //清空各表中已有的规

四、实验

4.1 Windows客户机设置

设置
设置

4.2 web服务器设置

  • 网卡为NAT模式,安装httpd服务
[root@localhost ~]# yum install httpd -y
[root@localhost ~]# systemctl start httpd
  • 修改为仅主机模式
    设置
  • 编辑网卡,设置IP地址
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
...省略内容
BOOTPROTO="static"	'//将dhcp修改为static'
...省略内容,末尾添加下面内容
IPADDR=192.168.10.10
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
[root@localhost ~]# systemctl restart network
[root@localhost ~]# ifconfig
  • 清空防火墙规则
[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -t nat -F

4.3 防火墙设置

4.3.1 配置网卡

  • 添加一张网卡,两张网卡都改为仅主机模式
    设置
  • 修改网卡IP地址
[root@firewall ~]# cd /etc/sysconfig/network-scripts/
[root@firewall network-scripts]# cp ifcfg-ens33 ifcfg-ens36
[root@firewall network-scripts]# vim ifcfg-ens33
...省略内容
BOOTPROTO="static"	'//将dhcp修改为static'
...省略内容。添加以下内容
IPADDR=192.168.10.1
NETMASK=255.255.255.0
[root@firewall network-scripts]# vim ifcfg-ens36
...省略内容
BOOTPROTO="static"	'//将dhcp修改为static'
...省略内容
NAME="ens36"	'//将ens33修改为ens36'
    		'//删除UUID'
DEVICE="ens36"	'//将ens33修改为ens36'
'//添加以下内容'
IPADDR=12.0.0.1
NETMASK=255.255.255.0
[root@firewall network-scripts]# systemctl restart network
[root@firewall network-scripts]# ifconfig

4.3.2 关闭防火墙,开启路由转发

[root@firewall network-scripts]# iptables -F	'//清空防火墙规则'
[root@firewall network-scripts]# iptables -t nat -F	'//清空DNAT和SNAT规则'
[root@firewall network-scripts]# vim /etc/sysctl.conf 
..省略内容,末行添加下段内容
net.ipv4.ip_forward=1	'//开启路由转发功能'
[root@firewall network-scripts]# sysctl -p	'//刷新sysctl.conf配置'
net.ipv4.ip_forward = 1

4.3.3 设置DNAT和SNAT地址映射

[root@firewall ~]# iptables -t nat -I PREROUTING -d 12.0.0.1 -p tcp --dport 80 -i ens36 -j DNAT --to-destination 192.168.10.10
[root@firewall ~]# iptables -t nat -I POSTROUTING -s 192.168.10.10/24 -o ens36 -j SNAT --to-source 12.0.0.1

4.4 实验结果验证

  • 客户端访问
    客户端访问
  • web服务器查看日志访问记录
[root@localhost httpd]# cd /var/log/httpd
[root@localhost httpd]# cat access_log
唐门中单申请出战
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables防火墙NAT网络地址转换(SNAT、DNAT
weixin_47403076的博客
11-30 1916
NAT网络地址转换DNAT策略配置策略SNAT策略配置策略操作实例拓扑图操作流程web服务配置防火墙配置验证效果 DNAT策略 原理:修改数据包中的目标IP地址 作用:将位于企业局域网中的服务器进行发布 配置nat表中的PREROUTING链上 互联网主机想访问企业内部的web服务器,但服务器的地址是私有地址,无法直接访问。此时,客户机可以访问防火墙的公网地址,客户机的请求数据包到达防火墙后,在防火墙上将请求数据包的目标地址进行修改,并将数据包发送给服务器。 配置策略 iptables -t nat -
LINUXIPTABLES防火墙的基本使用教程
01-20
iptables有4种表:raw–>mangle(修改报文原数据)–>nat(定义地址转换)–>filter(定义允许或者不允许的规则) 每个表可以配置多个链: * 对于filter来讲一般只能做在3个链上:INPUT ,FORWARD ,OUTPUT * 对于nat来讲...
linux防火墙时运用iptables进行NAT地址转换
Lfwthotpt的博客
12-16 979
地址映射, DNAT地址转换,客户机访问服务端 SNAT地址转化,服务端访问客户机 防火墙配置:两个网卡,都是仅主机模式 服务端: 仅主机模式,修改网卡 清理规则 客户机:仅主机模式 此时访问不了 ...
防火墙技术基础篇:网络地址转换NAT):防火墙技术的核心机制
qq_39241682的博客
05-13 1812
NAT起源于为了解决IPv4地址耗尽的问题,它允许多个设备通过单一的公有IP地址接入互联网,这些设备各自拥有独立的私有IP地址。简而言之,NAT的核心功能是在数据包传输过程中将源或目的IP地址从私有地址转换为公有地址,或者反之。
深入了解iptables防火墙原理配置
CN_LiTianpeng的博客
11-03 787
一、iptables简介二、iptables基础三、iptables的表、链结构1.规则链2.默认包括5种规则链3.规则表四、iptables传输数据包的过程1.规则表之间的顺序2.规则链之间的顺序3.规则链内的匹配顺序五、配置iptables示例注意事项数据包的常见控制类型iptables防火墙规则的保存与恢复1.删除INPUT链的第一条规则2.拒绝进入防火墙的所有ICMP协议数据包3.允许防火墙转发除ICMP协议以外的所有数据包4..拒绝转发来自192.168.1.10主机的数据,允许转发来自192..
linux防火墙NAT原理及实操
lcy913的博客
12-02 1054
自定义链类似于函数,将类型相同的规则放入一个自定义链中,然后再调用整个规则iptables -N 链名iptables -E 旧链名 新链名删除自定义链需要先使用iptables -F清空规则,再使用iptables -X +自定义链名删除。
实验Linux环境下 iptables防火墙配置
君莫hacker的博客
11-24 5713
Linux环境下iptables防火墙配置 (1)通过iptables进行端口设置。 a. 添加规则关闭某端口(如TCP的22端口);然后,查看已有规则,并试图访问该端口。 b. 删除上述规则开放该端口;然后,查看已有规则,并试图访问该端口。 (2)通过iptables实现ICMP包的过滤。 a. 添加规则拒绝ICMP包通过;然后,查看已有规则,并试图执行ping命令。 b. 删除上述规则允许ICMP包通过;然后,查看已有规则,并试图执行ping命令。
Linuxiptables防火墙
最新发布
T1937085011的博客
05-21 571
netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态’属于内核态的功能体系,是一个内核模块,由多个数据包过滤表组成,其中包含数据包的过滤处理规则集iptables位于/sbin/iptables,用来管理防火墙规则的工具称为Linux防火墙的“用户态”属于用户态的管理工具,如同firewalld、ufw,是一个防火墙应用管理程序,用来实现防火墙规则集的增删改査上述2种称呼都可以表示Linux防火墙iptables概述。
Linux安全防火墙iptables配置策略
qq_51545656的博客
11-11 6025
这条规则将禁止192.168.1.0/24网段的访问,丢弃源地址的流量。可以使用类似的命令来添加更多规则到自定义链中,根据需求进行配置。如果想要删除自定义链,确保满足以下条件:自定义链没有被任何默认链引用,即自定义链的引用计数为0。自定义链中没有任何规则,即自定义链为空。可以使用-x示例自定义链使用自定义链添加:iptables -N custom(链名) 创建链自定义链改名:iptables -E custom(原来名称) ky29(新名称) 自定义链改名。
Linux防火墙iptables地址转换(内容还没完善好)
qq_51545656的博客
11-11 342
通过。
linuxiptables防火墙
TTSuzuka的博客
11-02 1043
iptables就是经常听说的电脑防火墙,主要是防止别人恶意访问。防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
linux iptables防火墙配置
03-15
### Linux iptables防火墙配置详解 #### 一、iptablesLinux防火墙的演进 Linux系统自诞生以来,其防火墙功能经历了多个阶段的发展。在2.0版内核时代,包过滤机制由`ipfw`承担,配套的管理工具为`ipfwadm`;到了...
LINUX下的网络地址变换(NAT).pdf
09-06
接下来,需要配置iptables的规则来实现NAT转换。基本的NAT转换包括源NAT(SNAT)和目的NAT(DNAT)。例如,若要将所有出站流量的源IP地址转换为特定IP,可以使用SNAT规则: ``` [root@nsl ~]# iptables -t nat -A...
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
nat 表是 iptables 防火墙中的一个重要组件,用于实现网络地址转换nat 表典型应用包括 SNAT(源网络地址转换)、DNAT(目的网络地址转换)、MASQUERADE(地址伪装)等。nat 表典型应用可以实现对网络流量的控制和...
LINUX防火墙iptables入门.docx
11-15
filer 表用于实现包过滤,nat 表用于实现地址转换,mangle 表用于重构修改,raw 表用于数据跟踪处理。 在 IPTABLES 中,规则表之间的优先级是 raw > mangle > nat > filer。数据包在进入 IPTABLES 时首先进入 ...
Linux--DNS域名解析配置详解理论+实操
qq_48191100的博客
11-03 6754
目录前言一、BIND 域名服务基础1.1 DNS 系统的作用及类型1.1.1 DNS系统的作用1.1.2 DNS 系统的类型1.2 BIND的安装文件1.3 BIND的配置文件1.3.1 named.conf主配置文件1.3.2 区域数据配置文件1.3.3 区域数据配置文件的特殊应用1.3.4 对配置文件进行语法检查二、使用BIND构建域名服务器2.1 实验环境2.2 20.0.0.11配置2.3 20.0.0.12配置2.4 20.0.0.13配置 前言 域名解析是把域名指向网站空间IP,让人们通过注册
Linux网络设置——查看及测试网络,设置网络地址参数(理论+实操)
qq_48191100的博客
11-03 3367
目录前言一、查看网络配置1.1 查看网络接口地址1.1.1 查看活动的网络接口设备1.1.2 查看指定的网络接口信息1.2 查看主机名称1.3 查看路由表条目1.4 查看网络连接情况二、测试网络连接2.1 使用ping命令测试网络连通性2.2 使用 traceroute 命令跟踪数据包2.3 实验验证2.3.1 实验拓扑图2.3.2 分配网卡2.3.3 配置R12.3.4 R2配置2.3.5 centos 7设置2.3.6 win10IP地址设置直接更改网卡地址即可2.3.7 win 10IP地址设置2.3
Linux网络—firewalld防火墙基础(实验+理论)
qq_48191100的博客
11-04 892
目录前言一、Firewalld,iptables概述1.1 Firewalld 简介1.2 iptables 简介1.3 Firewalld和iptables的关系1.3.1 netfilter1.3.2 Firewalld、iptables1.3.3 netfilter和Firewalld,iptables关系1.3.4 Firewalld和iptables的区别1.3.5 CentOS 6 和CentOS 7 防火墙的区别二、Firewalld2.1 Firewalld网络区域介绍2.2 Firewal
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值