网关的SNAT与DNAT的详细原理介绍以及配置

最新推荐文章于 2025-06-12 16:18:56 发布
原创 最新推荐文章于 2025-06-12 16:18:56 发布
· 347 阅读 · 4 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #SNAT #DNAT #网关配置

SNAT原理与配置

SNAT(Source Network Address Translation)用于修改数据包的源IP地址,通常应用于内网设备访问外网的场景。其核心原理是将内网私有IP地址转换为公网IP地址,实现对外通信。

原理

  • 当内网主机发送数据包时,网关识别到该数据包需转发至外网,自动将源IP替换为网关的公网IP。
  • 回包时,网关根据NAT表将目标IP还原为内网私有IP,完成数据返回。

配置示例(Linux iptables)

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 203.0.113.1

关键参数

  • -s 192.168.1.0/24:匹配内网子网。
  • -o eth0:指定外网接口。
  • --to-source 203.0.113.1:替换为公网IP。

DNAT原理与配置

DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址,通常用于外网访问内网服务的端口映射。

原理

  • 外网请求到达网关时,网关根据DNAT规则将目标IP替换为内网服务器IP。
  • 内网服务器响应时,网关反向转换源IP(通常结合SNAT),确保数据包返回外网请求者。

配置示例(Linux iptables)

iptables -t nat -A PREROUTING -d 203.0.113.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

关键参数

  • -d 203.0.113.1:匹配公网IP。
  • --dport 80:匹配目标端口。
  • --to-destination 192.168.1.100:80:转发至内网服务器。

SNAT与DNAT对比

应用场景

  • SNAT:内网主动访问外网(如员工上网)。
  • DNAT:外网主动访问内网服务(如Web服务器暴露)。

配置方向

  • SNAT作用于POSTROUTING链(出站时修改源IP)。
  • DNAT作用于PREROUTING链(入站时修改目标IP)。

数据包修改字段

  • SNAT仅修改源IP,DNAT仅修改目标IP。
  • DNAT通常需结合SNAT(MASQUERADE)实现双向通信。

典型工具

  • 通用:iptables/nftables(Linux)、NAT网关(云平台)。
  • 云服务:AWS的NAT Gateway(SNAT)、ALB的端口映射(DNAT)。
防火墙中的SNAT DNAT
2301_81307988的博客
03-13 1163
总结起来,这条规则的效果是:所有发往公网IP地址12.0.0.254且目标端口为80的TCP数据包,在到达本地主机并准备转发到内部网络之前,其目标IP地址都会被转换成192.168.68.4。随后,在虚拟机上面的外网服务器去curl一下12.0.0.1,curl12.0.0.1出现的是内网服务器的网页内容,表明去连外网网关,就等于访问内网服务器。目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射。
Linux防火墙——iptables之SNATDNAT详细讲解
橘子的博客
05-11 719
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
SNATDNAT原理配置方法
chengu04的博客
08-01 9202
文章目录SNAT策略概述DNAT策略概述SNATDNAT配置防火墙规则的备份和还原 SNAT策略概述 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,B收
SNATDNAT的基本概念配置
F2001523的博客
11-22 1697
文章目录一、SNAT策略概述二、DNAT概述三、SNATDNAT配置 一、SNAT策略概述 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网 网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B
SNATDNAT原理和应用
weixin_52142961的博客
06-28 677
SNAT用于内部网络访问外部网络时,将源IP地址转换为公共IP地址,实现内网设备共享外网连接,提升网络安全。DNAT用于外部网络访问内部网络时,将目标IP地址转换为内网IP地址,实现外网对内网服务器的访问及端口转发。通过SNATDNAT,可以灵活管理和控制网络流量,实现内外网的安全隔离和资源共享。
SNATDNAT的应用
q1y2y3的博客
05-21 773
DNAT原理:修改数据包的目的地址。
SNATDNAT
xylwxx的博客
12-01 201
局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由。在Internet中发布位于局域网内的服务器。
SNATDNAT原理和应用
zhouziyu00的博客
05-26 476
SNAT 应用环境:局域网主机共享单个公网IP地址接入网络 原理:修改数据包的源地址 前提条件: 1,局域网各主机已正确设置ip地址,子网掩码,默认网关地址 2,Linux网关开启IP路由转发 临时打开路由转发 echo 1 > /proc/sys/net/ipv4/ip_forward 或是 sysctl -w net.ipv4.ip_forward=1 永久打开路由转发 修改/etc/sysctl.conf文件 net.ipv4.ip_forward=1 #写入 实例转换 内网 用windows
iptable防火墙,SNATDNAT原理应用
weixin_58345514的博客
08-04 812
一、iptables概述 Linux 系统的防火墙: IP信息包过滤系统,它实际上由两个组件netfilter和iptables组成 主要工作在网络层,针对IP数据包。体现在对包内的IP地址、端口等信息的处理上 二、netfilter/iptables关系 netfilter: 属于“内核态”(KernelSpace,又称为内核空间) 的防火墙功能体系 是内核的一部分,由–些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集 iptables: 属于“用户态”(User Spac..
iptables防火墙之SNATDNAT
gfbcdgbb的博客
03-19 1348
局域网主机共享单个公网IP地址接入Internet。
SNATDNAT原理及应用
m0_71931851的博客
09-20 5722
SNATDNAT原理及应用
VMware之SNATDNAT.docx
01-03
虽然这里没有详细介绍具体的配置命令,但理解 SNATDNAT 的基本原理对于日常运维和故障排查至关重要。理解了这两种技术,就能更好地管理和优化虚拟机的网络通信,提高网络效率和安全性。 总之,SNATDNAT 是 ...
SNATDNAT原理及应用
weixin_48861962的博客
09-21 2173
目录 一、 SNAT原理的应用 1.1 原因环境和原理 1.2 开启SNAT的命令 1.临时打开∶ 2.永久打开: 1.3 SNAT转换 1.3.1 SNAT转换1∶固定的公网IP地址∶ 二、 DNAT原理的应用 2.1 DNAT的工作原理 2.2 DNAT转换前提条件 2.3 DNAT转换1∶ 发布内网的Web服务 2.4 DNAT转换2∶ 发布时修改目标端口 2.5 防火墙规则的备份和还原 三、Linux抓包 一、 SNAT原理的应用 1.1 原因环境和原理 SNAT.
iptables 防火墙 二 SNATDNAT
2401_83786744的博客
05-22 1096
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 不抓取端口是22的数据包。
智能网卡之hinic3 WQE(Work Queue Element)结构梳理
qq_35223473的博客
06-08 1300
字段位宽/偏移说明PKT_TYPE[4:0]包类型IP_TYPE[6:5]IP 类型[7]封装 L3 类型TUNNEL_FMT[11:8]隧道包格式[20:19]组播/广播VLAN_EN[21]VLAN 有效RSS_TYPE[31:24]RSS 类型05781921240x1FU0x3U0x1U0xFU0x3U0x1U0xFFU。
Proxy arp(代理 ARP)逻辑图解+实验详解+真机实践验证
最新发布
weixin_42271802的博客
06-12 492
只是ping未 reply,未reply是由于windows PC原因,本文不进行拓展。
《TCP/IP协议卷1》 ARP&ICMP协议
_
06-12 460
本章探讨Internet控制报文协议(ICMP ),介绍了ICMP报文类型(多数后续章节会深入讨论 )。
TCP/IP 网络编程 | IO多路复用select/poll/epoll
weixin_52152177的博客
06-11 816
I/O多路复用机制概述 本文介绍了三种I/O多路复用技术:select、poll和epoll。I/O多路复用允许单个线程同时监听多个文件描述符,当有文件描述符准备好I/O操作时通知应用程序。 核心内容: select机制:使用三个位图(fd_set)监听可读、可写和异常事件,存在效率问题和文件描述符数量限制(1024) poll机制:改进select,使用pollfd结构体数组,解决了文件描述符数量限制问题 epoll机制:Linux专有高效实现,使用事件驱动模型,适合高并发场景 文中提供了select实现
Linux系统扫描抓包分析
小铭同学的博客,持续更新linux操作系统相关技能实践
06-11 315
执行tcpdump命令行,添加适当的过滤条件,只抓取访问主机192.168.2.5的21端口的数据通信 ,并转换为ASCII码格式的易读文本。这里假设,192.168.2.5主机有vsftpd服务,如果没有需要提前安装并启动服务!从192.168.2.100访问主机192.168.2.5的vsftpd服务。警告:案例中所有抓包命令都没有指定网卡,需要根据实际情况指定抓包网卡的名称。tcpdump命令的-r选项,可以去读之前抓取的历史数据文件。一款强大的网络探测利器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

start_up_go

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值