网络 || NAT策略

已于 2024-10-10 17:18:22 修改
阅读量1.6k 收藏
点赞数
分类专栏: 计算机网络 文章标签: 网络 服务器 运维
于 2022-09-11 12:45:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60271706/article/details/126804323
版权

NAT 简介

NAT:Network Address Translation,网络地址转换。

解决的问题

ipv4地址不足,不能给每个人或者每个设备都分配足额的ip地址。

Linux网关服务器:理解为就是一台路由器。

NAT功能的实现是通过netfilter模块来实现的,iptables给netfilter传递参数。

iptables是一个Linux里的防火墙工具。Linux系统内部有一个内核(kernel),对tcp/ip协议族--》netfilter 模块:专门对进出系统的数据进行过滤。

iptables 是给netfilter模块传递参数的一个工具。NAT 转换表(映射表)--》Linux的内核里netfilter模块里。

DNAT策略的典型应用环境 

在Internet中发布位于企业局域网内的服务器。

在Internet中发布内网的服务器。

  • 发布:公开出去。将一个网络里的服务器发布出去让另外的网络能够访问。
  • 发布:背后是对内部资源的管控。

DNAT策略的原理

目标地址转换,Destination Network Address Translation,修改数据包的目标IP地址。

站在企业的角度,将服务器发布出去。

步骤:

  1. 内网的服务器配置好ip和网关,dns,关闭防火墙。
  2. 内网的服务器搭建好web服务,启动nginx。
  3. 网关服务器开启路由功能配置好 dnat 策略。

在iptables里添加一条snat的转发策略,让内网192.168.100.0的网络从ens33接口出去,出去的时候将源ip地址转换为192.168.0.165。

iptables -t nat  -A POSTROUTING  -s  192.168.100.0/24 -o ens33 -j SNAT --to-source 192.168.0.165

dnat策略-web

iptables -t nat -A PREROUTING  -i ens33 -d 192.168.0.165 -p tcp  --dport 80  -j DNAT --to-destination 192.168.100.200

dnat策略-mysql

iptables -t nat -A PREROUTING  -i ens33 -d 192.168.0.165 -p tcp  --dport 3306  -j DNAT --to-destination 192.168.100.200

DNAT如何发布内网不同的服务器呢?

使用不同的端口号来对应内网不同的ip地址服务器。

iptables -t nat -A PREROUTING -d 192.168.0.133 -p tcp --dport 80 -i ens33 -j DNAT --to-destination 192.168.66.128

iptables -t nat -A PREROUTING -d 192.168.0.133 -p tcp --dport 8080 -i ens33 -j DNAT --to-destination 192.168.66.129:8080

iptables -t nat -A PREROUTING -d 192.168.0.133 -p tcp --dport 3306 -i ens33 -j DNAT --to-destination 192.168.66.130:3306

dnat修改ip包的目的ip地址i,还可以修改tcp或者udp里的目的端口号。

SNAT策略的原理

源地址转换,Source Network Address Translation,修改数据包的源IP地址。

SNAT策略的典型应用环境

局域网主机共享单个公网IP地址接入Internet。

站在用户的角度,帮助用户上网的。

开启snat功能

iptables -t nat -A PSOTROUTING -s 192.168.66.0/24 -o ens33 -j SNAT --to-source 192.168.0.133

-t nat 指定在nat表里操作

-A POSTROUTING 在POSTROUTING位置追加一条规则 append。

-s 192.168.66.0/24 指定从防火墙过的数据包里的源ip地址来自192.168.66.0/24网段。

-o ens33 从ens33接口出去 out-interface。

-j SNAT 采取SNAT策略,进行源ip地址的转换。

--to-source 192.168.0.133 将ip包里的源ip地址修改为192.168.0.133。

开启路由功能

1.临时开启

[root@sc nginx]# echo 1 >/proc/sys/net/ipv4/ip_forward

[root@sc nginx]# cat /proc/sys/net/ipv4/ip_forward
1

0  表示内核里的路由转发功能是关闭的。

1  表示内核里的路由转发功能是开启的。

2.永久开启

[root@sc nginx]# vim /etc/sysctl.conf
net.ipvr.ip_forward=1  # 添加配置,开启路由转发功能

#让内核重新加载新的配置,开启路由转发功能
[root@sc nginx]# sysctl -p   
net.ipvr.ip_forward=1
韩未零
关注
专栏目录
防火墙NAT策略
Zhangwennb的博客
04-14 1539
这里写自定义目录标题防火墙NAT策略NAT 的分类在防火墙上配置NAT No-pat方式的地址转换,步骤如下 防火墙NAT策略 NAT 的分类 在内外网的边界,流量有出、入两个方向,所以NAT技术包含源地址转换和目标地址转换两类,一 般情况下,源地址转换主要用于解决内部局域网计算机访问Internet的场景:而目标地址转换主要用于解决Internet用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。 华为支持的源地址转换方式有如下五类: 1:NATNo-PAT: 类似于Cisco的动态转换,只转
防御保护--NAT策略
m0_72210904的博客
01-29 1361
因为P2P应在端口转换的情况下,识别五元组,将导致P2P客户端之间无法直接访问,不符合 五元组的筛选条件,所以,这种场景下可以使用三元组NAT,放宽筛选条件,保证P2P客户端 之间可以正常通信。--- 针对源IP,目标IP,源端口,目标端口,协议 这五个参数识别出 的数据流进 行端口转换。配置黑洞路由---黑洞路由即空接口路由,在NAT地址池中的地址,建议配置达到这个地址指 向空接口的路由,不然,在特定环境下会出现环路。动态NAT --- 多对多。
防火墙-NAT策略和智能选路
最新发布
dragon的博客
07-16 874
在日常网络环境,内部网络想要访问外网无法直接进行通信,这时候就需要进行NAT地址转换,而在防火墙上配置NAT和路由器上有点小区别,思路基本一致,这次主要就以防火防火墙配置NAT策略为例,防火墙还为我们提供了智能选路功能和策略路由。策略路由其实也是一种策略,他不仅可以按照现有的路由表进行转发,而且可以根据用户指定的策略进行路由选择的机制,从更多维度决定报文是如何转发的。链路开启过载保护,保护阈值80%;4,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器
防火墙的NAT策略以及智能选路
qwer2193940422的博客
07-13 442
2、将分公司内部设备与内部服务器做源地址和目标地址同时转换,保证内部设备通过域名正常访问内部服务器(安全区域都是分公司,可不配置安全策略)10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器。1、将公网与分公司内部服务器做端到端的目标NAT。4、配置客户端上配置域名服务器地址。
华为NAT策略
qq_57207718的博客
04-14 775
华为防火墙NAT策略 **一 NAT技术**:用来解决当今ip地址资源枯竭的一种技术 **二 华为NAT分类** 流量包含出,入两个方向 所以NAT技术包含源地址转换和目标地址转换两类 源地址转换主要用于解决局域网计算机internet的场景 目标转换主要解决internet用户访问局域网服务器的场景 ...
ASA中的策略NAT
08-12
**策略NAT(Policy-Based NAT)**是一种网络地址转换技术,它允许管理员基于特定的源和目的IP地址以及端口来定义NAT规则,与传统的源NAT(PAT)不同,策略NAT不仅可以转换源地址,还可以根据需要转换目的地址。...
TYPE := [ unicast | local | broadcast | multicast | throw | unreachable | prohibit | blackhole | nat ]
06-16
`TYPE := [ unicast | local | broadcast | multicast | throw | unreachable | prohibit | blackhole | nat ]` 这个定义看起来像是在描述网络协议中的数据包类型或者是路由表中的路由类型。这里列举了一些常见的...
通信与网络中的NAT-PT过渡策略中地址欺骗技术的研究
12-10
摘要:介绍了NAT-PT用到的地址欺骗技术,详细阐述...IPv6大规模普及面临的一个关键问题:如何渐进地、无伤害地由基于IPv4的网络过渡到基于IPv6的网络,同时尽可能减少过渡的成本。IETF已成立专门的工作组NGTRANS来研究
详解VMware虚拟机网络连接模式(NAT,Bridged,Host-only)
09-30
VMware虚拟机提供了三种主要的网络连接模式:NAT、Bridged(桥接)和Host-only。这些模式决定了虚拟机如何与主机、其他虚拟机以及外部网络进行通信...在配置虚拟机网络时,应考虑应用需求、网络资源和安全策略等因素。
11.网络通信ACL+NAT
07-02
- **报文转发过滤**:在网络设备上应用ACL来过滤特定的数据包,如NAT转换、IPSec加密、QoS策略等。 - **路由过滤**:通过ACL来匹配和过滤路由表中的信息,以实现精细的路由控制。 ##### 1.2 ACL可以匹配和过滤的...
理论+实操:防火墙NAT策略
Lfwthotpt的博客
02-11 4968
文章目录一:NAT概述1.1 NAT分类1.1.1 NAT No-PAT1.1.2 NAPT(Network Address and Port Translation,网络地址和端口转换)1.1.3 出接口地址 (Easy-IP)1.1.4 NAT Server1.1.5 Smart NAT (智能转换)1.1.6 三元组NAT1.2 黑洞路由1.3 Server-map1.3.1 server-...
浅谈华为防火墙NAT策略
:Struggle.
09-01 8289
博文目录 一、什么是NAT? 二、如何解决源地址转换环境下的环路和无效ARP问题? 三、什么是Server-map表? 四、NAT对报文的处理流程 五、开始配置NAT 一、什么是NATNAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术。此博文重点是华为相关的NAT知识上。 1、NAT分类 在内外网的...
华为防火墙NAT策略
weixin_45724795的博客
02-13 3146
前言:NAT技术是用来解决当今IP地址资源枯竭的一种技术,同时也是IPv4到IPv6的过渡技术,绝大多数网络环境中在使用NAT技术 文章目录一、理论1.NAT分类1)NAT NO-PAT2)NAPT3)Easy-IP4)NAT Server5)Smart NAT6)三元组NAT2.黑洞路由1)如何解决源地址转换环境下的环路和无效ARP问题3.Sever-map表1)区别2 )配置4.NAT对报文的...
华为防火墙:五种NAT类型以及配置NAT策略
热门推荐
向上的信念
09-05 2万+
如图所示: 一.在R1上配置IP地址及静态路由。 Huawei:undo terminal monitor Huaweisystem-view [Huawei]sysname R1 [R1]user-interface console 0 [R1-ui-console0]idle-timeout 0 配置IP地址。 [R1]interface g 0/0/1 [R1-GigabitEther...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

韩未零

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值