防火墙的SNAT和DNAT

最新推荐文章于 2023-11-30 17:09:09 发布
最新推荐文章于 2023-11-30 17:09:09 发布
阅读量510 收藏 1
点赞数
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52825616/article/details/124385340
版权

目录

一、SNAT

1、SNAT策略

2、开启SNAT

3、SNAT案例

二、DNAT

1、DNAT策略

2、DNAT案例

3、抓包

一、SNAT

1、SNAT策略

SNAT策略的典型应用环境

局域网主机共享单个公网ip地址接入Internet

SNAT策略的原理

源地址转换

修改数据包的源地址

2、开启SNAT

临时开启

方法一

[root@localhost ~]# echo 1 >/proc/sys/net/ipv4/ip_forward

方法二

[root@localhost ~]# sysctl -w net.ipv4.ip forward=1

永久开启

[root@localhost ~]# vim /etc/sysctl.conf    #修改配置文件
net. ipv4.ip_ forward = 1                   #开启

3、SNAT案例

各设备的配置

网关服务器

(1)添加一块新网卡

 (2)配置两张网卡

[root@localhost network-scripts]# ifconfig   #查看新加网卡的配置

[root@localhost ~]# cd /etc/sysconfig/network-scripts/   #切到此目录

[root@localhost network-scripts]# cp ifcfg-enss33 ipcfg-ens37   #将enss33文件复制成enss37

[root@localhost network-scripts]# vim ifcfg-ens33  #修改ens33

PADDR=192.168.222.10      
NETMASK=255.255.255.0
#GATEWAY=192.168.222.2     #注释网关 和DNS
#DNS1=114.114.114.114     


[root@localhost network-scripts]# vim ifcfg-ens37  #修改ens37

NAME=ens37                                         #修改网卡名
#UUID=8299b8b6-baad-4742-b790-9c76078b5fe8         #注释uuid
DEVICE=ens37                                       #模块ens37
ONBOOT=yes
IPADDR=12.0.0.254                                   #修改ip地址
NETMASK=255.255.255.0
#GATEWAY=192.168.222.2                             #注释网关 和DNS
#DNS1=114.114.114.114

[root@localhost network-scripts]# systemctl restart network   #重启网络服务

(3)制定防火墙规则

[root@localhost network-scripts]#
vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1	#将此行写入配置文件
 
[root@localhost network-scripts]#sysctl -P				#读取修改后的配置


[root@localhost ~]# iptables -t nat -F POSTROUTING   #清空防火墙规则

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.222.0/24 -o ens37 -j SNAT --to 12.0.0.254

#制定规则

[root@localhost ~]# iptables -t nat -L POSTROUTING --line-numbers  #查看防火墙规则

服务端配置

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33
#修改网卡地址

IPADDR=12.0.0.100         #修改地址
NETWASK=255.255.255.0     
GATEWAY=12.0.0.254        #修改网关
#DNS1=8.8.8.8

[root@localhost ~]# systemctl restart network   #重启网卡

[root@localhost ~]# yum install httpd -y       #安装http服务

[root@localhost ~]# iptables -t nat -L --line-numbers  #清空防火墙规则

[root@localhost ~]# systemctl start httpd   #开启http

客户端配置

二、DNAT

1、DNAT策略

DNAT策略的应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

目标地址转换

修改数据包的目标地址

2、DNAT案例

网关服务机配置

[root@localhost ~]# iptables -F -t nat  #情空表中的默认规则

[root@localhost ~]#iptables -t nat -A PREROUTING -i ens37 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.222.50  #添加规则


[root@localhost ~]#iptables -nL -t nat

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            12.0.0.254            tcp dpt:80 to:192.168.222.50
 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

内网服务器


[root@localhost yum.repos.d]# yum install -y httpd     #安装http
[root@localhost yum.repos.d]# systemctl start httpd    #开启http服务

测试



[root@localhost ~]# curl 12.0.0.1    #在外网服务器上
 

[root@localhost yum.repos.d]# tail /etc/httpd/logs/access_log   #在内网服务器上
127.0.0.1 - - [02/Nov/2021:18:05:31 +0800] "GET / HTTP/1.1" 403 4897 "-" "curl/7.29.0"
12.0.0.100 - - [02/Nov/2021:18:19:45 +0800] "GET / HTTP/1.1" 403 4897 "-" "curl/7.29.0"

3、抓包

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.222.0/24 -w ./target.cap
(1)tcp:ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i ens33 :只抓经过接口ens33的包
(3)-t :不显示时间戳
(4)-s 0 :抓取数据包时默认抓取长度为68字节。加上-s 0后可以抓到完整的数据包
(5)-c 100 :只抓取100个数据包
(6)dstport!22:不抓取目标端口是22的数据包
(7)src net 192.168.222.0/24 :数据包的源网络地址为192.168.222.0/24
(8)-W ./target.cap :保存成cap文件,方便用ethereal (即wireshark)分析

qq_52825616
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙配置SNAT教程(1)
01-10
1、实验目标   以实验“防火墙配置-访问外网WEB”为基础,在WEB服务器上安装Wireshark,设置Wireshark的过滤条件为捕获HTTP报文,在Wireshark中开启捕获,在内网测试机上访问WEB服务器,查看捕获结果,再在网关防火墙上设置SNAT,查看捕获结果   (防火墙配置-访问外网WEB:linux防火墙配置教程之访问外网web实验(3) ) 2、SNAT(source network address translation)   源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,俗称IP地址欺骗或伪装   内部地址要访问公网上的服务时(如web访问),内部地址会
Linux防火墙配置SNAT教程(2)
01-11
1、实验目标     以实验“Linux防火墙配置-SNAT1”为基础,为网关增加外网IP地址,为eth1创建虚拟接口,使外网测试主机在Wireshark中捕获到的地址为eth1虚拟接口的地址   (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ) 2、实验拓扑 3、实验步骤 (1)完成“Linux防火墙配置-SNAT1”实验 (2)为网关增加外网IP地址,为eth1创建5个虚拟接口 [root@lyy 桌面]# gedit /etc/sysconfig/network-scripts/ifcfg-eth1  //打开网卡一 1)修改网卡名称和IP,然后点击“
防火墙SNAT及DNAT介绍
Smile x
05-27 689
一、SNAT原理与应用 1.SNAT应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 2.SNAT原理 修改数据包的源地址。 3.SNAT转换前提条件: (1)局城网各主机已正确设置IP地址、子网掩码、默认网关地址 (2) Linux网q关开启IP路由转发 #临时打开: echo 1> /proc/sys/net/ipv4/ip_ forward 或 sysctl -w net. ipv4.ip._forward=1 #永久打开: vim
防火墙之SNAT和DNAT
zmac111的博客
05-26 362
防火墙之SNAT和DNAT一、SNAT应用环境原理前提条件打开方式SNAT转换二、DNAT应用环境原理前提条件打开方式DNAT的转换三、防火墙规则的备份和还原导出(备份)所有表的规则导入(还原)规则四、Linux系统中抓包 一、SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由) 原理 修改数据包的源地址 前提条件 (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址 (2)Linux网关开启IP路由转发 打开方式 (1)临时打开(重启失效)
linux防火墙】设置开启路由转发,SNAT和DNAT转换原理及应用实操,添加自定义链归类iptables规则
liu_xueyin的博客
11-30 1118
#指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链中,作用到源ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略。
iptables之SNAT和DNAT
最新发布
01-08
iptables、SNAT和DNAT实验
运用Linux系统打造NAT防火墙的技术研究与实现
04-16
阐述了在Linux系统下打造NAT防火墙的设计方案和策略,并且给出了基于NAT防火墙的具体设置步骤和所实现的检测结果。在对NAT技术的安全性进行了具体分析的基础之上,结合设计中出现的问题,进一步探讨了需要改进的...
数据中心防火墙参数.docx
07-10
支持一对一SNAT、多对一SNAT、一对一DNAT、双向NAT、NoNAT等多种转换方式;支持StickyNAT开关,使相同源IP的数据包经过地址转换后为其转换的源IP地址相同; 支持MAP66功能,将从内部发往Internet的数据包的源IPv6...
Pix515 防火墙配置策略实例
10-14
Pix515 防火墙配置策略实例 需求:想通过pix做snat使内网用户上网,再做dnat使访问本公网IP的http服务、ssh服务转换为192.168.4.2的http服务、ssh服务,对192.168.4.2开放本pix的telnet服务
洞悉linux下的Netfilter&iptables;
04-19
详细介绍了linux下的防火墙设计和原理,基于应用层的iptables和内核的Netfilter。重点讲了SNAT\DNAT\状态防火墙等,还有具体实例讲解
H3C_NAT 配置举例
10-26
4.5.1 典型nat 配置举例 1. 组网需求 如下图所示,一个公司通过secpath 防火墙的地址转换功能连接到广域网。要求该公司能够通过防火墙ethernet3/0/0 访问internet,公司内部对外提供www、ftp和smtp 服务,而且提供两台www 的服务器。公司内部网址为10.110.0.0/16。其中,内部ftp 服务器地址为10.110.10.1,内部www 服务器1 地址为10.110.10.2,内部www服务器2 地址为10.110.10.3,内部smtp 服务器地址为10.110.10.4,并且希望可以对外提供统一的服务器的ip 地址。内部10.110.10.0/24网段可以访问internet,其它网段的pc 机则不能访问internet。外部的pc 可以访问内部的服务器。公司具有202.38.160.100 至202.38.160.105 六个合法的ip 地址。选用202.38.160.100 作为公司对外的ip 地址,www服务器2 对外采用8080 端口。
iptables之SNAT与DNAT
稻香的博客
06-05 849
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例二. DNAT原理与应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修改目标端口5. DNAT案例5.1 修改win10网络配置5.2 修改主机2的网卡并重启5.3 修改主机2的
防火墙(15)——SNAT和DNAT,SNAT实践
weixin_48445640的博客
10-24 533
SNAT的作用是将源目标的ip地址做修改,比如说你家的这个局域网向外部网发送请求,这时候要通过你家的网段请求外网的网段,比如说你家的网段用数字1代替,外面的网段用数字2代替,这时候你的主机要通过你家的路由器,此时路由器的作用是在postrouting上,修改源ip(你的主机ip)到外网网段2上,这样在通过路由器去拿到你想要的信息。 DNAT是将目标地址进行修改,此时路由器的作用是再prerouting之前,将你的目标地址直接进行修改,而不改你的源地址,比如我们都知道某个网站是通过某个外网ip服务的,我们此时
iptables防火墙SNAT和DNAT
Hard work results, technology is willing to dream
02-10 1432
iptables防火墙SNAT和DNAT
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 2158
计算机网络SNAT 和 DNAT 的详细配置步骤
SNAT和DNAT原理及配置方法
chengu04的博客
08-01 8045
文章目录SNAT策略概述DNAT策略概述SNAT和DNAT配置防火墙规则的备份和还原 SNAT策略概述 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,B收
实现防火墙SNAT和DNAT
Richardlygo的博客
08-27 2670
实验环境概述 Centos6.1 eth0(vmnet1):192.168.100.100 无网关 eth1(vmnet8):192.168.3.100 网关192.168.3.88 网关防火墙发布公网httpd端口为8080 ssh端口设定2222 SNET 实现192.168.100.0/24内部主机上网 Iptables -t nat -A...
ensp防火墙snat和dnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNAT和DNAT配置示例: SNAT配置: 1. 将内部IP地址192.168...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值