原理:
地址伪装:通过地址伪装,NAT设备将经过设备的包转发到指定的接收方,同时将通过的数据包的源地址更改为其自己的接口地址。当返回的数据包到达时,会将目的地址修改为原始主机的地址并做路由。地址伪装可以实现局域网多个地址共享单一公网地址上网。类似于NAT技术中的端口多路复用(PAT)。IP地址伪装仅支持ipv4,不支持ipv6。
端口转发:也可以称之为目的地址转换或端口映射。通过端口转发,将指定IP地址及端口的流量转发到相同计算机上的不同端口,或不同计算机上的端口。一般公司内网的服务器都采用私网地址,然后通过端口转发将使用私网地址的服务器发布到公网上,以便让互联网用户访问。(例如,当接收互联网用户的HTTP请求时,网关服务器判断数据包的目标地址与目标端口,一旦匹配指定规则,则将其目标地址修改为内网真正的服务器地址,从而建立有效连接)。
两台主机部署服务,一台主机测试:
| server1 | 172.25.254.109,1.1.1.109(两块网卡) |
|---|---|
| server2 | 1.1.1.119 |
| 客户端 | 172.25.254.19 |
server1端:
(1)关闭firewalld,下载iptables。
- systemctl stop firewalld
- systemctl mask firewalld
- yum install -y iptables
确保通过1.1.1网段两个主机可以通信:
(2)查看默认规则,清除规则 - iptables -nL
(3)开启路由转发功能: - sysctl -p 查看是否开启
- sysctl -a |grep ip_forward
- vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
(4)设置地址伪装(实现局域网多个地址利用一个公网IP上网,在本次实验中实现1.1.1网段局域网只利用一个公网IP172.25.254.109上网,即与公网相同网段IP通信) - iptables -t nat -A POSTROUTING -o ens33 -j SNAT --to-source 172.25.254.109 ##-t选择表格,-A添加规则,在路由转发之后(-o指输出的网卡(ens33)即172.25.254.109这块网卡,而路由前的通信是(ens38)1.1.1.109这块网卡,两个不同网段的通信要通过路由,所以在ens33这个网卡的输出是路由后),-j指定动作,SNAT源地址转换
具体参数含义:
-t ##指定规则表
-A ##添加一条规则到某一条规则链中
-s ##指定数据包的源IP地址或网段
-o ##指定数据包从哪一块网卡发出去
-j ##指定一个默认策略来处理数据包(动作)
--to-source ##指定执行SNAT策略后数据包的源IP
server2端:
(1)添加网桥,使1.1.1.119(sever2端)能与172.25.254.109(server1端的不同网段)通信。
(因为1.1.1.119可以和1.1.1.109通信,因为处于同一网段,而1.1.1.109能与172.25.254.109通信,因为处于同一主机)
(2)测试:
(3)测试地址转发是否成功:
实现 了利用一个公网IP,访问外部网络的目的。
在server1端:
(1)端口转发(目的地址转换)
- iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 22 -j DNAT --to-dest 1.1.1.119 ##-i指定输出网卡,-p指定协议,–dport指定端口,DNAT目的地址转发,一个IP,一个端口,一个进程,即确定一个进程。
具体参数含义:
-t ##指定规则表
-A ##添加一条规则到某一条规则链中
-i ##指定数据包从哪一块网卡进入
-j ##指定一个默认策略来处理数据包(动作)
-p ##指定匹配数据包的通信协议(目前DNAT只支持TCP/UDP/ICMP)
--dport ##指定协议端口
--to--destination ##指定执行DNAT策略后数据包的目的IP
在客户端:
本来连接的是172.25.254.109,而通过端口转发,连接到了转发地址地址1.1.1.119上。
扫一扫
1517
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
