iptables配置理解NAT技术

最新推荐文章于 2024-05-01 02:46:38 发布
最新推荐文章于 2024-05-01 02:46:38 发布
阅读量430 收藏 1
点赞数
分类专栏: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redwand/article/details/105894183
版权
一、路由转发

1、实验环境配置图:
在这里插入图片描述
winxp配置默认路由网关cmd命令(或者ipv4配置默认网关)

route delete 0.0.0.0
route add 0.0.0.0 mask 0.0.0.0 192.168.150.131

kali配置默认网关

route del -net 0.0.0.0
route add default gw 192.168.0.144

centos6.9开启路由转发
永久开启

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p

临时开启

echo 1 > /proc/sys/net/ipv4/ip_forward

2、几个要点
(1) 报文在传输过程中,不论源ip报头还是目标ip报头始终都不发生改变。报文经过centos6.9路由转发过程,报文只是mac地址发生了改变。
(2) 由于ip地址是主机的,不论centos6.9是否开启路由转发,winxp:192.168.150.128可以ping通centos6.9:192.168.0.144,kali:192.168.0.193可以ping通centos6.9:192.168.150.131。
(3) 要实现路由转发,需在winxp和kali上设置默认网关,且为相对应的centos6.9上的ip。centos6.9不一定要两块网卡,一块网卡设置两个ip也可以实现。

二、SNAT源地址转换

1、为什么会有SNAT技术?
内网用户上网时,报文源IP为私网IP,目的IP为公网IP,当请求报文出防火墙后,通过路由转发能够到达目的IP地址,但响应报文目的IP是私网IP,服务器不知道该回给谁。
在这里插入图片描述
2、解决方案,SNAT源地址转换
在这里插入图片描述
1过程ip报文

源IP目的IP
192.168.0.447.65.12.33

2过程报文

源IP目的IP
180.97.20.6647.65.12.33

3过程报文

源IP目的IP
47.65.12.33180.97.20.66

4过程报文

源IP目的IP
47.65.12.33192.168.0.4

2、实验环境配置
在这里插入图片描述

centos6.9配置iptables

iptables -t nat -A POSTROUTING -s 192.168.150.0/24 -j SNAT --to-source 192.168.0.144

winxp----ping---->kali
在这里插入图片描述
centos6.9在eth1网卡抓包
在这里插入图片描述

kali在eth0抓包
在这里插入图片描述
得出结论,SNAT实际是iptables在nat表的POSTROUTING链上做了规则进行了地址转换。其中,请求报文在出防火墙前,将报文的源IP包头转换为出口的公网IP地址,而响应报文在进防火墙后,根据防火墙内的NAT表将目的IP转换为内网IP。

三、DNAT目的地址转换

1、解决问题情境
在这里插入图片描述
2、实验配置
kali开启apache2监听8080端口
在这里插入图片描述

centos6.9中iptables配置

iptables -t nat -A PREROUTING -d 192.168.150.131 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.193:8080

在winxp上访问192.168.150.131的80端口,访问成功。
在这里插入图片描述
3、得出结论
DNAT实际是针对非军事区内网服务器的防火墙配置策略。它不但可以对目的地址进行转换,同时也可以进行端口映射。对nat的限制策略,可以在filter表的FORWARD链上添加规则进行限制。

redwand
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
linux网络NAT配置方式详解
09-15
Linux网络NAT(Network Address Translation)配置是一种网络技术,它允许内部网络的设备通过一个公共IP地址访问外部网络,...学习和理解NAT的工作原理以及如何在Linux系统中配置,对于管理复杂的网络环境至关重要。
iptables
bie961208的博客
12-06 308
yum search iptables yum install iptables-services.x86_64 -y systemctl stop firewalld.service    ##停止火墙 systemctl mask firewalld.service    ##冻结火墙 一、相关概念 Iptables 利 用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据
iptables转发基础
最新发布
2401_84519718的博客
05-01 384
(2)源/目的IP地址-s:指定源地址–dst:指定目的地址(3)网络接口-i:入站接口。对于PREROUTING链,只能用-i指定进来的网络接口-o:出站接口。对于POSTROUTING和OUTPUT,只能用-o指定出去的网络接口(4)动作ACCEPT:放行DROP:丢弃REJECT:拒绝MASQUERADE:地址伪装LOG:日志MARK:标记三. 源/目的转发实例1.源NAT(SNAT)更改所有来自192.168.1.0/24的数据包的源IP地址为123.4.5.100。
iptables nat
macob的专栏
08-06 457
iptables nat
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 491
snat与dnat一、SNAT1.1 原理与应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充二、DNAT2.1 原理与应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份表的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理与应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
使用iptables进行NAT转发
热门推荐
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
linux24-iptables
08-10
总的来说,iptables是Linux系统中强大的网络安全工具,通过灵活的规则配置,可以实现对网络流量的精细化管理,确保系统安全,防止恶意攻击,并对网络行为进行审计和控制。正确理解和使用iptables对于任何Linux系统...
LVS深入及NAT集群调试.pptx
10-21
为了实现NAT,我们需要配置iptables规则,如删除PREROUTING链中的REDIRECT规则,以便正确地将流量导向后端服务器。同时,需要确保后端服务器的网络配置正确,例如设置静态IP、网关和子网掩码。 在上述内容中提到了...
nat.rar_linux nat_nat_nat 实现_数据包转发
09-14
NAT技术不仅简化了公网IP地址的管理,还提高了网络安全。在本教程中,我们将深入探讨如何在Linux系统中实现NAT数据包转发。 首先,了解NAT的基本原理至关重要。NAT的核心功能是将内部网络的私有IP地址映射到公网IP...
搭建和配置FTP服务器.zip
09-23
根据实际需求,还可以配置FTP服务器支持SSL/TLS加密,设置被动模式以穿透NAT和防火墙,以及使用虚拟用户和群组进行更细粒度的权限控制。 总的来说,搭建和配置FTP服务器涉及网络协议、操作系统管理、用户权限和安全...
iptables nat 原理(SNAT和DNATNAT之二)
bingyu的博客
05-09 3093
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则 把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。 因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT; 系统先PREROUTING DNAT翻译——>再过滤(FORWARD)——&...
iptables-nat
wdirdo的博客
10-23 691
iptables-nat ★★★★★ 初识nat,工作中常用nat技术 NAT简介: ◆ NAT: network address translation 网络地址转换 内网地址想与公网地址进行通信时,可使用NAT方法。NAT方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外...
iptables命令、规则、参数详解
wu瞌睡虫
10-24 3994
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables命令详解和举例
u011029104的专栏
07-07 689
防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其实是代理层的网关。 对于TCP/IP的七层模型来讲,我们知道第三层是网络层,三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防...
5、iptablesnat
weixin_30820151的博客
10-17 307
iptables: 显式扩展、网络防火墙 显式扩展:multiport, iprange, string, time, connlimit, limit, state state:无关是哪种协议 /proc/net/nf_conntrack /proc/sys/net/nf_conntrack_max NEW, ESTABLISHED, RELATED, INVALID ...
删除iptables nat 规则
06-22 1万+
删除iptables nat 规则删除一条nat 规则iptables -t nat  -D POSTROUTING  1让openstack 虚拟机上网的规则iptables -t nat -A POSTROUTING -s 172.28.101.111/255.255.255.0 -o ens33 -j MASQUERADE开启路由转发echo "1" > /proc/sys/net/i...
Linux Iptables入门与规则详解:防火墙配置指南
在实际操作中,LinuxIptables使用资料会深入讲解如何安装、配置和管理iptables,包括添加、修改和删除规则,以及使用不同链(如INPUT、OUTPUT、FORWARD)来处理数据包的不同阶段。此外,还会涵盖高级功能,如NAT...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值