iptables-nat

最新推荐文章于 2024-05-14 07:34:16 发布
最新推荐文章于 2024-05-14 07:34:16 发布
阅读量691 收藏 1
点赞数
分类专栏: 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wdirdo/article/details/102710428
版权

iptables-nat ★★★★★

  • 初识nat,工作中常用nat技术

NAT简介:

◆ NAT: network address translation 网络地址转换

  • 内网地址想与公网地址进行通信时,可使用NAT方法。NAT方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和因特网连接。

NAT的工作原理

◆ 公共IP地址

公共ip地址范围
A1.0.0.0 到 9.255.255.255
A11.0.0.0 到 126.255.255.255
B128.0.0.0 到 172.15.255.255
B172.32.0.0 到 191.255.255.255
C192.0.0.0 到 192.167.255.255
C192.169.0.0 到 223.255.255.255
  • 公网地址需要花钱申请,任何公网地址可以互通,目前ipv4地址已经不够使用。

◆ 私有IP地址

私有ip地址范围
A10.0.0.0 到 10.255.255.255
B172.16.0.0 到 172.31.255.255
C192.168.0.0 到 192.168.255.255
  • :公共ip地址不能直接到达私有ip地址,但是如果私有ip地址想访问互联网,怎么办?

局域网主机访问互联网主机

◆ 局域网主机访问公网主机,源IP地址的转换==>SNAT

  • 以目前本机访问某度为例:
    虚拟机ip:192.168.38.17 ==>
[root@centos7-17 ~]# curl http://ipinfo.io/ip  查看当前主机访问互联网的ip
61.149.195.206
src ipdst ip
hostA:192.168.38.1761.135.169.121(某度ip)
经过NAT路由器时
61.149.195.20661.135.169.121
源地址转换
--
响应时
61.135.169.12161.149.195.206
经过NAT路由器时
61.135.169.121hostA:192.168.38.17
NAT路由器再将地址转换回去

◆ 局域网主机访问公网主机,通信图示:

  • 总结:上述通信过程:
    ①在请求报文中,若源ip被修改 ==> 此时称为SNAT
    ②请求报文中,若目标ip被修改 ==> 此时称为DNAT
    ③PNAT: port nat,端口和IP都进行修改,ip加端口,现在PNAT和SNAT、DNAT都合并在一起了,目前并不做明显区分
现在NAT路由器涉及端口转换时,一般都会涉及端口,因为仅是ip地址转换的话,一个局域网中主机众多,不能区分。

◆ 如果局域网配置公网地址会怎样?

  • 建议不要这样使用,如果局域网不访问互联网,那没啥问题,但是局域网要访问互联网还是配置私有地址。

互联网主机访问局域网主机

◆ DNAT ==> (相当于lvs调度之类的)但是iptables不支持多路映射,因此iptables的DNAT只能是将dst ip转换为一个dst ip

◆ 地址转换表

src ipdst ip
6.6.6.6:XXXX61.149.195.206:25(25邮件服务器端口)
经过NAT路由器时
6.6.6.6:XXXX192.168.38.27:25(局域网提供邮件服务的主机)
目标地址转换
--
响应时
192.168.38.27:256.6.6.6:XXXX
经过NAT路由器时
61.149.195.206:256.6.6.6:XXXX
NAT路由器再将地址转换回去请求报文中目标地址转换

◆ 互联网主机访问局域网主机,通信图示:

◆ DNAT ==> 映射至局域网的多个主机,则相当于实现的调度器的功能,反向代理,但是linux的iptables只能实现一对一的映射,调度实现详情见lvs。

NAT

◆ NAT: network address translation

  • PREROUTING,INPUT,OUTPUT,POSTROUTING
  • 请求报文:修改源/目标IP,由定义如何修改
  • 响应报文:修改源/目标IP,根据跟踪机制自动实现

◆ SNAT:source NAT POSTROUTING, INPUT

  • 让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装
  • 请求报文:修改源IP

◆ DNAT:destination NAT PREROUTING , OUTPUT

  • 把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP
  • 请求报文:修改目标IP

◆ PNAT: port nat,端口和IP都进行修改

NAT的功能

◆ NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

  • ②宽带分享
  • ③安全防护

实验

SNAT

◆ nat表的target: SNAT:固定IP

  • –to-source [ipaddr[-ipaddr]][:port[-port]]
  • –random

◆ iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to-source ExtIP

  • -s LocalNET:源地址是本地局域网的ip地址
  • -d LocalNet:目标地址为本地的局域网地址(!取反)
  • -j SNAT: -j target
  • –to-source ExtIP:指明替换为哪个外网地址
实现示例:
~]# iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT - -to-source 172.18.1.6-172.18.1.9

SNAT实验

◆ 拓扑图:

◆ 各主机配置:

  • hostA:

    • eth0
      • 桥接:模拟外网
      • ip:172.18.3.4/16(此处没有静态配置,DHCP自动获取的)

  • hostB:

    • NAT路由器
    • eth0
      • 桥接:模拟外网地址
      • ip:172.18.2.2/16(DHCP自动获取)
    • eth1
      • NAT模式:内网
      • ip:192.168.38.17
路由转发:临时生效
[root@centos7-17 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

永久生效:
[root@centos7-17 ~]# echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf 
[root@centos7-17 ~]# sysctl -p
net.ipv4.ip_forward = 1
  • hostC:
    • eth0
      • NAT:内网
      • ip:192.168.38.27
      • 默认路由指向:192.168.38.17

◆ 定义SNAT规则

  • 在NAT路由器上使用iptables在nat表的POSTROUTING链定义如下规则:
[root@centos7-17 ~]# iptables -t nat -A POSTROUTING -s 192.168.38.0/24 ! -d 192.168.38.0/24 -j SNAT --to-source 172.18.2.2

◆ 测试和结果分析:

hostC 主机发起请求:内网访问外网
[root@centos7-27 ~]# curl 172.18.3.4
web server:172.18.3.4


hostA主机:访问日志:
[root@web-server ~]# tail -f /var/log/httpd/access_log 
172.18.2.2 - - [23/Oct/2019:19:21:28 +0800] "GET / HTTP/1.1" 200 22 "-" "curl/7.29.0"
    ==>是NAT路由器访问的web server

上述实现总结

  • SNAT:当局域网主机访问互联网主机时,在NAT路由器将实现SNAT,即访问互联网的数据报文将源ip地址转换为局域网可以与互联网主机通信的外网ip。

  • 上述iptables -t nat -A POSTROUTING -s 192.168.38.0/24 ! -d 192.168.38.0/24 -j SNAT --to-source 172.18.2.2 此命令有个致命的缺陷;NAT的外网地址是由DHCP获取的,但是–to-source 172.18.2.2 确是一个固定的ip地址,解决办法如下:

◆ 解决办法:

  • MASQUERADE:动态IP,如拨号网络
    –to-ports port[-port]
    –random

  • iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

[root@centos7-17 ~]# iptables -t nat -A POSTROUTING -s 192.168.38.0/24 ! -d 192.168.38.0/24 -j MASQUERADE
[root@centos7-17 ~]# iptables -t nat -D POSTROUTING 1
[root@centos7-17 ~]# iptables -t nat -vnL
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    1    60 MASQUERADE  all  --  *      *       192.168.38.0/24     !192.168.38.0/24 
然后在虚拟机将桥接网卡移除,或者直接手动修改桥接网卡ip地址


MASQUERADE将自动绑定外网地址:
[root@centos7-27 ~]# curl 172.18.3.4
web server:172.18.3.4
  • :此时必须指明内网ip的网段,如果内部局域网有多网段,那么设置多条规则,将仅剩下外网ip

DNAT

◆DNAT

  • –to-destination [ipaddr[-ipaddr]][:port[-port]]

◆ iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --to-destination InterSeverIP[:PORT]

DNAT实验

◆ 拓扑图:

◆ 各主机配置:

  • hostA:

    • eth0
      • 桥接:模拟外网
      • ip:172.18.3.4/16(此处没有静态配置,DHCP自动获取的)

  • hostB:

    • NAT路由器
    • eth0
      • 桥接:模拟外网地址
      • ip:172.18.2.74/16(DHCP自动获取)
    • eth1
      • NAT模式:内网
      • ip:192.168.38.17
    • 路由转发打开

  • hostC:

    • eth0
      • NAT:内网
      • ip:192.168.38.27
      • 默认路由指向:192.168.38.17(访问hostA需要指明)
承接上述SNAT实验:
仅需要在NAT路由器上配置:
[root@centos7-17 ~]# iptables -t nat -A PREROUTING -d 172.18.2.74/16 -p tcp --dport 22 -j DNAT --to-destination 192.168.38.27:22 
    ==> 谁访NAT的tcp 22端口,就被映射为192.168.38.27:22 


[root@web-server ~]# ssh 172.18.2.74
root@172.18.2.74's password: 
Last login: Wed Oct 23 19:56:53 2019 from 192.168.38.17
[root@centos7-27 ~]# exit



在hostC主机上查看:可以看见hostA连接的hostC
[root@centos7-27 ~]# ss -tn
State       Recv-Q Send-Q            Local Address:Port        Peer Address:Port              
ESTAB       0      0                 192.168.38.27:22          172.18.3.4:39120

DNAT实验总结

  • :iptables是在nat表的PREROUTING链实现的DNAT,与LVS不同。

转发

REDIRECT

  • NAT表
  • 可用于:PREROUTING OUTPUT 自定义链
  • 通过改变目标IP和端口,将接受的包转发至不同端口
  • –to-ports port[-port]

◆ 示例:

  • iptables -t nat -A PREROUTING -d 172.168.100.10 -p tcp --dport 80 -j REDIRECT --to-ports 8080
  • 访问目标主机-d 172.18.100.10 的tcp 80 端口转发至172.18.100.10的8080端口

◆ 一般使用场景:

  • 将本机的端口进行重定向
在上述DNAT实验中:
hostC提供web server,但是修改了默认端口
    httpd tcp 80 修改为 tcp 8080时


hostC主机上配置:访问本机80端口重定向至8080端口
[root@centos7-27 ~]# iptables -t nat -A PREROUTING -d 192.168.38.27 -p tcp --dport 80 -j REDIRECT --to-ports 8080


hostB主机配置:访问本机80端口时,映射为192.168.38.27:80端口
[root@centos7-17 ~]# iptables -t nat -A PREROUTING -d 172.18.2.74/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.38.27:80


hostA主机:访问172.18.2.74:80端口:
[root@172-18-3-4 ~]# curl 172.18.2.74
192.168.38.27
  • :REDIRECT和DNAT均只能在PREROUTING链上配置,虽然INPUT链默认只流向本机的数据报文,但是iptables是在PREROUTING链上配置的。
-17 ~]# iptables -t nat -A PREROUTING -d 172.18.2.74/16 -p tcp --dport 80 -j DNAT --to-destination 192.168.38.27:80


hostA主机:访问172.18.2.74:80端口:
[root@172-18-3-4 ~]# curl 172.18.2.74
192.168.38.27
  • :REDIRECT和DNAT均只能在PREROUTING链上配置,虽然INPUT链默认只流向本机的数据报文,但是iptables是在PREROUTING链上配置的。
Hskds
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables命令使用详解
a1809032425的博客
10-13 1万+
iptables命令使用详解 参考链接:iptables命令使用详解 - Vathe - 博客园 iptables的主要功能是实现对网络数据包进出设备及转发的控制。当数据包需要进入设备、从设备中流出或者经该设备转发、路由时,都可以使用iptables进行控制。 环境 操作系统:CentOS7.3 ip地址:172.16.55.7 1.iptables中的“四表五链”及“堵通策略” A.“四表”是指,iptables的功能——filter, nat, mangle, raw.     fi
iptables
wangzhenyu177的博客
11-04 1944
0 目录目录 netfilter机制 1 各链的生效时机重要 2 流入报文的流程 3 转发报文的流程 4 流出报文的流程 iptables表链 1 iptables各表 2 iptables各表定义规则的链 3 各表各链规则生效的优先级 4 自定义链 iptables格式及子命令 1 子命令 11 列出各规则 常见匹配条件 1 基本匹配 2 隐式扩展匹配 21 tcp子选项 22 icmp子选项 3
iptables防火墙之SNAT、DNAT策略及应用
weixin_62466637的博客
01-03 896
目录 一、SNAT原理及应用 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 实现方法 1.4.1 编写SNAT转换规则 1.4.2路由转发开启方式 SNAT转换 二、DNAT策略概述 2.1 DNAT策略的典型应用环境 2.2 DNAT策略的原理 2.3 DNAT策略的应用 2.4 实现方法 编写DNAT转换的规则 三、防火墙规则的备份和还原 3.1 导出(备份)所有表的规则 3.2 导入(还原)规则 一、SNAT原理及应用 ..
Linux防火墙(Iptables
m0_55637617的博客
06-02 312
Linux防火墙(Iptables) 在早期的Linux系统中,默认使用的是iptables防火墙管理服务来配置防火墙。尽管新型的firewalld防火墙管理服务已经被投入使用多年,但是大量的企业在生产环境中依然出于各种原因而继续使用iptables。 策略与规则链 四表五链概念 filter表——过滤数据包 Nat表——用于网络地址转换(IP、端口) Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw表——决定数据包是否被状态跟踪机制处理 INPUT链——进来的数据包
2024年最新[Linux用户空间编程-5]:用IPTable实现NAT功能_iptable nat,看这篇文章就行了
最新发布
2401_85013273的博客
05-14 699
netfilter是Linux 核心中一个通用架构,它提供了一系列的"表"(tables),每个表由若干"链"(chains)组成,而每条链中可以有一条或数条规则(rule)组 成。并且系统缺省的**表是"filter"。**因为系统缺省的表是"filter",所以在使用filter功能时,我们没有必要显式的指明"-t filter"。但在使用NAT的时候,我们所使用的表不再是"filter",而是"nat"表,所以我们必须使用**"-t nat**"选项来显式地指明这一点。
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
表 (table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables+NAT专题学习(kvm+VMware)
tiging的博客
03-24 5122
iptables基础操作(必学) ## 查看规则 iptables -nL iptables -nL -t nat iptables -nL -v --line-numbers -t filter 表filter带行号带流量数据 iptables -nL --line-numbers 带行号 ## 删除指定表指定链的指定行数据 iptables -t nat -D POSTROUTING 1 iptables -D FORWARD 7 -t filter ## 清空所有规则【...
docker-iptables-restore:将iptables推送到docker主机时,可能会破坏docker创建的现有规则。 备份并稍后还原这些规则
05-14
docker-iptables-save.sh Bash脚本,利用iptables-persistent(iptables-save和iptables-restore)制作NAT表和FILTER表的备份,并将它们放置在/ etc / iptables中,带有基本时间戳记 docker-iptables-restore.sh ...
iptables-web-gui:死项目 - 改用 ufw
07-12
iptables-web-gui 用于 iptables 的基于轻量级网站的 GUI特征简单的零配置用普通 PHP 编写(零依赖) 干净的界面即时编辑规则,无需存储支持所有链的过滤器和 nat 表要求PHP 5.3 或更高版本ssh2 扩展当然还有远程...
kubernetes-iptables-proxy:使用iptables快速实现Kubernetes代理
05-23
设置: iptables -t nat -I PREROUTING -j my-dnatiptables -t nat -I OUTPUT -j my-dnatiptables -t nat -I POSTROUTING -j my-snat/usr/bin/docker run --name kube-iptables-proxy --privileged --...
iptables-1.4.21.tar.bz2
04-02
linux 网络防火墙,工具。功能非常强大。filter主要用来过滤数据包,nat用于网络地址转换等等
iptables-1.8.6.tar.bz2
12-30
iptables-1.8.6
iptables详解(13):iptables动作总结之二
yetugeng的专栏
06-16 1130
概述 阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。 前文中,我们已经了解了如下动作 ACCEPT、DROP、REJECT、LOG 今天,我们来认识几个新动作,它们是: SNAT、DNAT、MASQUERADE、REDIRECT 在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念已经滚瓜烂熟,可以跳过如下场景描述。 NAT是Network Address Translation的缩写,译为"网络地址转换",NAT说白了就是修改报文的IP地址,..
iptables配置NAT实现端口转发与ss命令的讲解
weixin_47680367的博客
08-08 1万+
nat的使用与ss命令
使用 iptables 进行端口转发
weixin_30556161的博客
09-09 212
端口转发用来中转国外的虚拟机例如远程桌面 效果非常明显,iptables不仅支持单端口,连端口段也可以转发,同时TCP/UDP均可 特别注明:本地服务器 IP 未必是公网 IP ,像阿里云就是内网 IP ,请用 ipconfig 确认下走流量的网卡 IP 是外网还是内网。 第一步:开启系统的转发功能vi /etc/sysctl.conf将net.ipv4.ip_forward=0修改成n...
iptables实现NAT
xiaochenwj1995的博客
09-08 2795
NAT: network address translation PREROUTING,INPUT,OUTPUT,POSTROUTING 请求报文:修改源/目标IP,由定义如何修改 响应报文:修改源/目标IP,根据跟踪机制自动实现 SNATsource NAT POSTROUTING, INPUT 让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装 请求报文:修改源IP DNAT:...
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
如何使用iptablesNAT
weixin_43402206的博客
08-25 1906
iptables 是集成在 Linux 内核中的包过滤防火墙系统。使用 iptables 可以添加、删除具体的过滤规则,iptables 默认维护着,所有的防火墙策略规则都被分别写入这些表与链中。
iptables -F iptables -X iptables -Z iptables -t nat -F iptables -t nat -X iptables -t nat -Z
11-30
以下是对iptables常用命令的介绍: 1. iptables -F:清空所有防火墙规则。 2. iptables -X:删除所有用户自定义的链。 3. iptables -Z:将所有链的所有计数器归零。 4. iptables -t nat -F:清空nat表中的所有规则。 5. iptables -t nat -X:删除nat表中的所有用户自定义链。 6. iptables -t nat -Z:将nat表中的所有链的所有计数器归零。 这些命令可以帮助你管理iptables规则,清空规则或者删除用户自定义的链。在使用这些命令时,请确保你知道自己在做什么,以免影响系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值