DNAT转换与tcpdump抓包

最新推荐文章于 2024-03-26 10:40:21 发布
最新推荐文章于 2024-03-26 10:40:21 发布
阅读量1k 收藏 3
点赞数 2
分类专栏: Linux安全运维 Linux软件使用 Linux网络运用与网络协议类 文章标签: tcpdump 网络 运维 服务器
未经本人同意,不得转载抄袭。否则后果自负
本文链接:https://blog.csdn.net/qq_62462797/article/details/126891526
版权

内容预知

 1. DNAT的介绍

 2. DNAT实验设计

 3.DNAT具体实验步骤操作

 4. DNAT与DNS分离解析相结合

 5.tcpdump抓包工具的运用

5.1进行动态抓包处理(一旦遇到有指定数据包的出现,开始运转)

5.2 用客户机访问web服务器,且停止抓包 

5.3 使用windows主机获取抓包数据拖进wireshark 

6.4 wireshark筛选数据包

 总结

 1. DNAT的介绍

 DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。

私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问

所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问

 

拓展:

  • 客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。
  • 如果多台服务器使用同一个网关,那么通过不同的端口号来对应不同的服务器。

 

 DNAT策略的原理:

  • 目标地址转换,Destination Network Address Translation
  • 修改数据包的目标地址

DNAT源地址转换过程:

  • 数据包从外网发送到内网时,DNAT会把数据包的目标地址由公网IP转换成私网IP。
  • 当相应的数据包从内网发送到公网时,会把数据包的源地址由私网IP转换为公网IP。

 

 2. DNAT实验设计

 

 通过DNAT将web服务器的提供的httpd服务映射到网关服务器ens36网卡,且端口为80上面

 

 3.DNAT具体实验步骤操作

 第一步:配置好网卡与环境

 

 注意:与DNAT实验时相反,这次的web服务器在内网环境,服务机在公网环境

 按照部署图设置网卡和vment即可

 

第二步:web服务器安装httpd服务,且开启httpd服务 

第三步:对网关服务器进行操作

1.设置路由转发

 

#永久启用
vim /etc/sysctl.conf
 net.ipv4.ip_forward=1 
 
sysctl -p

 2. 设置SNAT

 

使用DNAT的前提就是要用配置好SNAT

[root@localhost network-scripts]#  iptables -t nat -A POSTROUTING -s 192.168.73.0/24 -o ens36 -j SNAT --to 12.0.0.254

 

3.设置好DNAT 

[root@localhost network-scripts]# iptables -t  nat  -A PREROUTING  -d 12.0.0.254  -p tcp --dport 80 -i ens36 -j DNAT --to 192.168.73.111:80

 

 

用客户机访问web服务器映射的IP测试:

 

 

但是这样的设置存在的最大缺点是我们通常并不会通过IP去访问,更多的时运用域名,而内网访问web服务器是用内网的私网地址,而外网访问则是映射的外网IP。所以DNAT的运用一般我们会用DNS分离解析来配合使用。使其实现内网主机通过内网域名转换为内网IP访问,外网主机也能通过域名转换为外网IP进行访问

 4. DNAT与DNS分离解析相结合

 方法:直接在上面配好SNAT和DNAT的基础上,在网关服务器配置分离解析即可

内网配置为   :www.yang.com    解析成    192.168.73.111

外网配置      : www.yang.com    解析成    12.0.0.254(web服务器映射外网IP) 

 分离解析的方法,在我前面的博客有详细记录:
 

 Linux中DNS的分离解析和自动分配_站在这别动,我去给你买橘子的博客-CSDN博客icon-default.png?t=M85Bhttps://blog.csdn.net/qq_62462797/article/details/126365851?spm=1001.2014.3001.5501

 

 

 

 外网解析测试结果:

 

 

 

 

内网主机测试结果 :

 

 

 

 

 5.tcpdump抓包工具的运用

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

 

tcpdump是Linux系统中自带抓包工具 

[root@localhost network-scripts]# rpm -q tcpdump

 

 

 

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。

(2)-i ens33 :只抓经过接口ens33的包。

(3)-t:不显示时间戳

(4)-s0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

(5)-c 100 :只抓取100个数据包。

(6)dst port ! 22 :不抓取目标端口是22的数据包。

(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。

(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。

5.1进行动态抓包处理(一旦遇到有指定数据包的出现,开始运转)

 

[root@localhost opt]# tcpdump -i ens36  -s0 -w  ./ens36.cap

5.2 用客户机访问web服务器,且停止抓包 

 

 

 

 

5.3 使用windows主机获取抓包数据拖进wireshark 

获取方法:1.设置ftp,通过ftp直接get

                   2 .winscp  直接远程登录,将/opt目录下的抓包数据拖进win主机中

6.4 wireshark筛选数据包

ip.addr=指定IP 

 tcp.dport=服务端口      目的端口匹配  

tcp.sport=服务端口        源端口匹配

还可以通过  “&&” 多条件一起匹配

 

 总结

1.通过iptables实现Linux中的SNAT源地址转换,DNAT实现目的地址的转换

 2.DNAT与DNS分离解析相结合实现公网主机通过域名访问公网中映射IP,私网主机通过域名访问映射的私网IP。

3.通tcpdump更直观的分析数据包中转换流向

 

网络地址转换的两种模式:SNAT和DNAT网络通信的核心
网络技术联盟站
11-15 2365
SNAT和DNAT网络地址转换NAT)的两种主要模式,它们在许多网络环境中都发挥着重要的作用。SNAT主要用于允许内部网络的主机通过一个公网IP地址访问互联网,而DNAT主要用于将外部网络的请求重定向到内部网络的特定主机。尽管SNAT和DNAT都可以提供一定程度的安全性,但它们并不能提供完全的安全保障。因此,我们应该将SNAT和DNAT作为网络安全策略的一部分,与其他安全措施(如防火墙和入侵检测系统)一起使用。
网络抓包解包方法分享
学无止境
05-07 1441
WireShark使用
SNAT(源地址转换)、DNAT(目的地址转换
最新发布
sunrj_niu的博客
03-26 3106
SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的源地址。无论使用哪种类型的地址转换,防火墙主机一定要开启IP转换的功能。 2.源地址转换:通过SNAT源地址转换实现共享上网 如上图所示,公司网段192.168.10.0想要通过防火墙公网地址上网,当数据包进入防火墙时修改源地址信息,公司电脑通过防火墙去上网,会经过的链路有PREROUTING、FORWARD、POSTROUTING,通过防火墙出去修改源地址,很
Linux防火墙——DNAT转换控制
灵魂在求知中净化。。。
05-26 686
Linux防火墙——DNAT转换控制DNAT作用工作原理DNAT的前提条件DNAT转换规则防火墙规则备份与还原DNAT详细解析 DNAT作用 一般在Internet中发布内网服务器。 工作原理 客户机通过将网关作为目标地址,通过路由与DNAT将外网IP转化为内网IP访问服务器,就实现了HTTP请求。在服务端通过网关服务器实现HTTP应答,回馈客户机。 DNAT的前提条件 局域网的web服务器难过访问Internet。 网关的外网IP地址有正确的DNS解析记录。 Linux网关支持IP路由转发。 DN
iptables防火墙、SNAT与DNAT转换
Ryu_hayabusa的博客
03-23 743
iptables防火墙、SNAT与DNAT转换一、Iptables防火墙1. Iptables防火墙定义2. 四表五链3. iptables防火墙配置3.1 控制类型3.2 管理选项3.3 匹配条件4. 添加与查看规则二、匹配类型1. 直接使用2. 端口匹配3. TCP标记匹配4. ICMP类型匹配5. 多端口匹配6. IP范围匹配7. 状态匹配三、SNAT1. 开启路由转发2. SNAT转换四、DNATDNAT转换 一、Iptables防火墙 1. Iptables防火墙定义 netfilter/ipta
DNAT目标地址转换基本概念以及应用
江晓龙的博客
07-11 3023
所谓的DNAT目标地址转换指的是修改请求包中的目标地址,很多情况下只有一个公网地址,但是内网服务器有几百台,想要通过一个公网地址访问到内网的所有服务器,就需要用到DNAT目标地址转换的功能了,接收到用户发送的数据包后,修改数据包中的目标地址,根据来源转发到具体的某台内网服务器中,如下图所示。 DNAT地址转换的应用场景:无论使用哪种类型的地址转换,防火墙主机一定要开始IP转换的功能。 2.通过DNAT目标地址转换实现IP地址/端口映射 案例描述:防火墙规则如下。...
tcpdump 抓包并转发
09-04
### 回答1: 可以使用tcpdump命令进行抓包,然后使用iptables...以上就是使用TCPDump抓包并转发的基本过程。通过使用TCPDump,我们可以方便地监控网络流量,并在需要时进行数据包的转发,以实现网络数据的传输和分析。
linux bridge 抓包,Linux bridge hairpin mode
weixin_35886660的博客
05-16 647
hairpin中文翻译为发卡。bridge不允许包从收到包的端口发出,比如bridge从一个端口收到一个广播报文后,会将其广播到所有其他端口。bridge的某个端口打开hairpin mode后允许从这个端口收到的包仍然从这个端口发出。这个特性用于NAT场景下,比如docker的nat网络,一个容器访问其自身映射到主机的端口时,包到达bridge设备后走到ip协议栈,经过iptables规则的dn...
SNAT、DNAT的原理及应用
weixin_48861962的博客
09-21 2100
目录 一、 SNAT原理的应用 1.1 原因环境和原理 1.2 开启SNAT的命令 1.临时打开∶ 2.永久打开: 1.3 SNAT转换 1.3.1 SNAT转换1∶固定的公网IP地址∶ 二、 DNAT原理的应用 2.1 DNAT的工作原理 2.2 DNAT转换前提条件 2.3 DNAT转换1∶ 发布内网的Web服务 2.4 DNAT转换2∶ 发布时修改目标端口 2.5 防火墙规则的备份和还原 三、Linux抓包 一、 SNAT原理的应用 1.1 原因环境和原理 SNAT.
SNAT、DNATtcpdump抓包
weixin_55609824的博客
05-26 1425
目录一.SNAT原理与应用1.1 SNAT应用环境1.2 SNAT原理1.3 SNAT转换前提条件 一.SNAT原理与应用 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) 1.2 SNAT原理 修改数据包的源地址。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward 或
添加iptables限制 tcpdump是否能抓到包
wzjudy的专栏
06-26 4421
添加iptables限制 tcpdump是否能抓到包 ,这要看添加的iptables限制条件如果添加的入站规则则可以抓得到包如果是添加出站规则抓不到包其顺序如下:进来的顺序 Wire -> NIC -> tcpdump -> netfilter/iptables 出去的顺序 iptables -> tcpdump -> NIC -> Wire...
端口转发 局域网数据包在桥上DNAT后无法forward
01-06 1200
问题: 端口转发,内网设备2的端口5555绑定WAN端口2222。内网设备1访问WAN口端口2222,在桥上pre链执行了DNAT操作,但是数据包最终未转发到内网设备2的5555端口上。如果开启tcpdump抓包工具就正常转发,关闭后还是无法转发。 原因分析: 内核的桥代码在处理pre链上的数据包DNAT后,不会将数据包传到上层IP栈上,也就不会再过forward链。个人觉得数据包在做DNAT后被桥转飞了。 修改: br_netfilter.c static int br_nf_pre_ro
DNATtcpdump
m0_61417337的博客
03-31 83
scp root@192.168.232.105:/opt/123.bak /opt #本地文件。tcpdump -i ens33 -s0 -w ./ens33.cap #动态抓包。(重点)linux如何抓包tcpdump(tcp自带的)sz下载rz获取,可通过sz命令下载到windows。先给test2加一个网卡,且仅主机模式。重启用sysctl -p #立即生效。MASQUERADE--地址伪装。xshell同时命令多台服务器。dnat 把内部服映射出去。转换类型snat,dnat
tcpdump抓不到包_tcpdump常用选项整理
weixin_39584529的博客
12-10 3015
tcpdump默认只抓取一个包的前68或96个字节,如果要查看更多内容,需要加"-s number"选项,下面是整理的最常用的一些选项:[选项]-i any监听所有的网卡接口、用来查看是否有网络流量-i eth0 只监听eth0网卡流量-D 显示可用的接口列表-n 不解析成主机名(协议端口会以协议名进行显示,不显示实际端口),本地IP地址会以主机名形式显示 (参数可以连写...
防火墙之SNAT和DNAT
FYR1018的博客
05-10 1757
1 SNAT 原理与应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
pandas nat_Paloalto 安全和NAT策略简单部署
weixin_39927848的博客
10-27 408
首先,写本文的目的想利用简单的LAB拓扑环境,使大家对Paloalto能够有一个简单的印象和记忆,知道它是如何进行策略部署,算是一个扫盲普及吧。当然下文还是需要有点防火墙的基础知识才能理解的。至于更详细和深入的理论,希望感兴趣的小伙伴多多查阅下面的官网。https://www.paloaltonetworks.com/ 如果想自己动手探索的小伙伴,需要自己安装PA的VM环境,具体过程...
DNAT、SNAT 流程简要解析
Imba
06-24 1278
SNAT (Source NAT) a. 当一个数据包由企业内网主机(ipA)发往一个互联网主机地址(ipC)的时候,被路由到防火墙所在的主机B(外网出口为ipB) b. 防火墙在【nat· POSTROUTING】 部分修改数据包的源地址(改为src:ipB,dst:ipC),然后经过互联网发往ipC。 c. C在收到数据包后,生成响应包(src:ipC,dst:ipB),经过互联网响应给ipB。 d. 防火墙在【nat· POSTROUTING】 部分修改响应包的目的地址(改为src:ipB,ds.
iptables基本选项的作用、SNAT策略的应用和DNAT策略的应用
ai_hanghang的博客
06-06 416
一、iptables防火墙 1、防火墙的作用和防火墙类型 1)防火墙的作用 对数据库包进行过滤和访问限制 2)防火墙功能分类 代理防火墙:对应用程序进行监控,squid代理防火墙 网络防火墙:对数据包进行过滤,iptables,firewalld网络防火墙 状态化防火墙:硬件防火墙属于状态化防火墙,深信服、华为、思科 2、防火墙内核和防火墙的管理工具 1)防火墙内核 判断Linux系统是否支持防火墙功能检查是否支持netfilter模块 默认Linux内核加载netfilter 2)防火墙管理工具 ipta
SNAT、DNAT策略
weixin_50344843的博客
11-25 149
SNAT、DNAT策略SNAT策略DNAT策略示例 SNAT策略 出站 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 POSTROUTING DNAT策略 入站 原理:修改数据包中的目标IP地址 作用:将位于企业局域网中的服务器进行发布 PREROUTING 示例 具体实现方法 中间防火墙充当路由器,开启NAT功能 执行出站POSTROUTING策略 执行入站PREROUTING策略 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值