DNAT转换与tcpdump抓包

最新推荐文章于 2023-04-08 15:40:52 发布
最新推荐文章于 2023-04-08 15:40:52 发布
阅读量920 收藏 1
点赞数 2
分类专栏: Linux安全运维 Linux软件使用 Linux网络运用与网络协议类 文章标签: tcpdump 网络 运维 服务器
未经本人同意,不得转载抄袭。否则后果自负
本文链接:https://blog.csdn.net/qq_62462797/article/details/126891526
版权

内容预知

 1. DNAT的介绍

 2. DNAT实验设计

 3.DNAT具体实验步骤操作

 4. DNAT与DNS分离解析相结合

 5.tcpdump抓包工具的运用

5.1进行动态抓包处理(一旦遇到有指定数据包的出现,开始运转)

5.2 用客户机访问web服务器,且停止抓包 

5.3 使用windows主机获取抓包数据拖进wireshark 

6.4 wireshark筛选数据包

 总结

 1. DNAT的介绍

 DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。

私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问

所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问

 

拓展:

  • 客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。
  • 如果多台服务器使用同一个网关,那么通过不同的端口号来对应不同的服务器。

 

 DNAT策略的原理:

  • 目标地址转换,Destination Network Address Translation
  • 修改数据包的目标地址

DNAT源地址转换过程:

  • 数据包从外网发送到内网时,DNAT会把数据包的目标地址由公网IP转换成私网IP。
  • 当相应的数据包从内网发送到公网时,会把数据包的源地址由私网IP转换为公网IP。

 

 2. DNAT实验设计

 

 通过DNAT将web服务器的提供的httpd服务映射到网关服务器ens36网卡,且端口为80上面

 

 3.DNAT具体实验步骤操作

 第一步:配置好网卡与环境

 

 注意:与DNAT实验时相反,这次的web服务器在内网环境,服务机在公网环境

 按照部署图设置网卡和vment即可

 

第二步:web服务器安装httpd服务,且开启httpd服务 

第三步:对网关服务器进行操作

1.设置路由转发

 

#永久启用
vim /etc/sysctl.conf
 net.ipv4.ip_forward=1 
 
sysctl -p

 2. 设置SNAT

 

使用DNAT的前提就是要用配置好SNAT

[root@localhost network-scripts]#  iptables -t nat -A POSTROUTING -s 192.168.73.0/24 -o ens36 -j SNAT --to 12.0.0.254

 

3.设置好DNAT 

[root@localhost network-scripts]# iptables -t  nat  -A PREROUTING  -d 12.0.0.254  -p tcp --dport 80 -i ens36 -j DNAT --to 192.168.73.111:80

 

 

用客户机访问web服务器映射的IP测试:

 

 

但是这样的设置存在的最大缺点是我们通常并不会通过IP去访问,更多的时运用域名,而内网访问web服务器是用内网的私网地址,而外网访问则是映射的外网IP。所以DNAT的运用一般我们会用DNS分离解析来配合使用。使其实现内网主机通过内网域名转换为内网IP访问,外网主机也能通过域名转换为外网IP进行访问

 4. DNAT与DNS分离解析相结合

 方法:直接在上面配好SNAT和DNAT的基础上,在网关服务器配置分离解析即可

内网配置为   :www.yang.com    解析成    192.168.73.111

外网配置      : www.yang.com    解析成    12.0.0.254(web服务器映射外网IP) 

 分离解析的方法,在我前面的博客有详细记录:
 

 Linux中DNS的分离解析和自动分配_站在这别动,我去给你买橘子的博客-CSDN博客icon-default.png?t=M85Bhttps://blog.csdn.net/qq_62462797/article/details/126365851?spm=1001.2014.3001.5501

 

 

 

 外网解析测试结果:

 

 

 

 

内网主机测试结果 :

 

 

 

 

 5.tcpdump抓包工具的运用

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

 

tcpdump是Linux系统中自带抓包工具 

[root@localhost network-scripts]# rpm -q tcpdump

 

 

 

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。

(2)-i ens33 :只抓经过接口ens33的包。

(3)-t:不显示时间戳

(4)-s0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

(5)-c 100 :只抓取100个数据包。

(6)dst port ! 22 :不抓取目标端口是22的数据包。

(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。

(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。

5.1进行动态抓包处理(一旦遇到有指定数据包的出现,开始运转)

 

[root@localhost opt]# tcpdump -i ens36  -s0 -w  ./ens36.cap

5.2 用客户机访问web服务器,且停止抓包 

 

 

 

 

5.3 使用windows主机获取抓包数据拖进wireshark 

获取方法:1.设置ftp,通过ftp直接get

                   2 .winscp  直接远程登录,将/opt目录下的抓包数据拖进win主机中

6.4 wireshark筛选数据包

ip.addr=指定IP 

 tcp.dport=服务端口      目的端口匹配  

tcp.sport=服务端口        源端口匹配

还可以通过  “&&” 多条件一起匹配

 

 总结

1.通过iptables实现Linux中的SNAT源地址转换,DNAT实现目的地址的转换

 2.DNAT与DNS分离解析相结合实现公网主机通过域名访问公网中映射IP,私网主机通过域名访问映射的私网IP。

3.通tcpdump更直观的分析数据包中转换流向

 

站在这别动,我去给你买橘子
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
运用Linux系统打造NAT防火墙的技术研究与实现
04-16
针对因特网地址匮乏及网络安全性等问题,详细介绍了NAT技术的工作原理及其在防火墙中的应用。阐述了在Linux系统下打造NAT防火墙的设计方案和策略,并且给出了基于NAT的防火墙的具体设置步骤和所实现的检测结果。在对NAT技术的安全性进行了具体分析的基础之上,结合设计中出现的问题,进一步探讨了需要改进的措施和方法。由此得出打造系统安全防火墙所需要的技术实现的方法和思路。
山石防火墙DNAT-web页面配置.pdf
08-31
山石防火墙DNAT-web页面配置
DNAT的实际应用
03-04
关于DNAT的一个实际应用,如果你觉得会对你有用,就下吧!自己的写的玩的,有什么不当之处,可指教!
山石网科防火墙DNAT常见问题基础排查
qq_41919868的博客
03-05 4397
山石网科防火墙DNAT常见问题基础排查
DNAT目标地址转换基本概念以及应用
江晓龙的博客
07-11 2958
所谓的DNAT目标地址转换指的是修改请求中的目标地址,很多情况下只有一个公网地址,但是内网服务器有几百台,想要通过一个公网地址访问到内网的所有服务器,就需要用到DNAT目标地址转换的功能了,接收到用户发送的数据后,修改数据中的目标地址,根据来源转发到具体的某台内网服务器中,如下图所示。 DNAT地址转换的应用场景:无论使用哪种类型的地址转换,防火墙主机一定要开始IP转换的功能。 2.通过DNAT目标地址转换实现IP地址/端口映射 案例描述:防火墙规则如下。...
【网络】SNAT和DNAT
qq_41152046的博客
04-08 2088
在网络通信中,当外部网络的主机向内部网络发送数据时,数据的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据的路由。在网络通信中,当外部网络的主机向内部网络发送数据时,数据的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据的路由。当外部网络的主机需要访问内部网络的资源时,数据的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据的路由。如果外部网络的主机需要访问内部网络的资源,就需要使用DNAT技术将外部网络的请求路由到内部网络的某个主机上。
模拟iptables的DNAT
我的博客
02-18 2142
参考这篇文章:https://www.cnblogs.com/kevingrace/p/5865792.html 参考:http://ask.apelearn.com/question/7255 在阿里云或ucloud上买了两台云主机,但只买了一个公网ip。公网ip只能绑定在一台主机上,但两台云主机的内网之间是通的,所以,可以通过有公网ip的云主机将另一台云主机的22端口转发出去 实验环境:...
可能是目前最全的讲 NAT 的文章
04-28 413
对于 NAT,你想知道的,可能括以下几点:NAT 是啥为啥需要 NATNAT 的分类NAT 是怎么实现的NAT 有什么问题防火墙与 NAT01 NAT 是啥NAT,全称叫 Networ...
SNAT和DNAT
Ggggggggggu的博客
07-17 1875
SNAT应用环境局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)SNAT原理源地址转换,根据指定条件修改数据的源IP地址,通常被叫做源映射。net.ipv4.ip_forward=1#将此行写入配置文件。1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址。linxu想系统本身是没有转发功能只有路由发送数据。注还有一种方式静态路由,这个就比较麻烦。把源地址根据数据的目的地址来做源映射。SNAT原理与应用..........
VMware之SNAT与DNAT.docx
01-03
VMware之SNAT与DNAT
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》
06-01
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》,如何配置snat,dnat,等等
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
iptables-dnat
09-20
iptables nat snat dnat 负载均衡
iptables之SNAT和DNAT
最新发布
01-08
iptables、SNAT和DNAT实验
利用iptables的DNAT功能实现流量转发
热门推荐
杂货铺的少掌柜
12-29 1万+
本文简单介绍一下使用iptables的DNAT功能实现外网流量到内网的转发。关于什么是DNAT,什么是SNAT,请参考其他资料。(另外,我有一篇关于使用SNAT实现内网访问外网的文章:利用iptables的SNAT功能实现局域网共享上网) 实验背景介绍现在我们有一个5台机器的局域网(每台机器只有一个内网IP): 192.168.180.121-node1 192
H3C_源地址转换(snat)及端口映射(dnat)的nat双向转换配置
zsisle的博客
10-15 3990
通常私网用户访问公网上的相关服务资源,需要配置源地址转换(snat);公网用户访问私网的相关服务资源也需要配置端口映射(dnat)。这就是nat地址的双向转换,本案例来演示和讲解如何配置源地址转换及端口映射。
Hillstone目的地址转换DNAT配置
weixin_34390105的博客
04-03 1356
目的地址映射主要用于将内网的服务器对外进行发布(如http服务,ftp服务,数据库服务等),使外网用户能够通过外网地址访问需要发布的服务。 常用的DNAT映射有一对一IP映射,一对一端口映射,多对多端口映射,一对多映射。 1.一对一IP映射   举例:将内网地址192.168.1.100映射到公网地址60.0.0.1。   1)创建两个地址薄,分别代表公网地址和内网地址:       ...
SNAT、DNATtcpdump
weixin_55609824的博客
05-26 1152
目录一.SNAT原理与应用1.1 SNAT应用环境1.2 SNAT原理1.3 SNAT转换前提条件 一.SNAT原理与应用 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.2 SNAT原理 修改数据的源地址。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward 或
tcpdump 并转发
09-04
可以使用tcpdump命令进行,然后使用iptables进行转发。以下是具体步骤: 1. 使用tcpdump命令,将结果输出到文件中。例如,将HTTP流量从eth0接口取并写入到文件中: ``` sudo tcpdump -i eth0 -w ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值