SNAT服务搭建:IP分享

最新推荐文章于 2024-02-17 19:26:10 发布
最新推荐文章于 2024-02-17 19:26:10 发布
阅读量644 收藏
点赞数
文章标签: 后端 运维 操作系统
原文链接:https://juejin.im/post/5c925a17f265da611f1d86a0
版权

准备

首先使用vmware创建两台虚拟机,这里全部选用了centos7系统,

同时虚拟机的网络链接使用桥接,桥接的方式使每一个虚拟机在网络内和独立的机器表现一致

SNAT服务器的网络参数设置

创建虚拟网卡,并设置私有IP地址

查看SNAT服务器的ip地址

ip address show
复制代码

显示

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:21:73:be brd ff:ff:ff:ff:ff:ff
    inet 192.168.199.134/24 brd 192.168.199.255 scope global noprefixroute dynamic ens33
       valid_lft 35442sec preferred_lft 35442sec
    inet6 fe80::59eb:3929:5162:3f61/64 scope link tentative noprefixroute dadfailed
       valid_lft forever preferred_lft forever
    inet6 fe80::957e:fa38:5e70:d608/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
复制代码

说明已经通过DHCP获取到了局域网IP,这个网段为192.168.199.0/24,所绑定的网卡为ens33

我们就把这个网段当作公网ip(只能是当作了。。。)

我们创建一个虚拟网卡ens33:0并绑定192.168.100.201/24这个网段当作私有ip

ip add address 
复制代码

此时查看ip地址

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:21:73:be brd ff:ff:ff:ff:ff:ff
    inet 192.168.199.134/24 brd 192.168.199.255 scope global noprefixroute dynamic ens33
       valid_lft 35442sec preferred_lft 35442sec
    inet 192.168.100.201/24 brd 192.168.100.255 scope global ens33:0
       valid_lft forever preferred_lft forever
    inet6 fe80::59eb:3929:5162:3f61/64 scope link tentative noprefixroute dadfailed
       valid_lft forever preferred_lft forever
    inet6 fe80::957e:fa38:5e70:d608/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
复制代码

已经多了inet 192.168.100.201/24 brd 192.168.100.255 scope global ens33:0这一条记录了

此时SNAT的网络设置如图

设置iptables规则

第一步设置INPUT链为接受

iptables -A INPUT -i ens33:0 -j ACCEPT
复制代码

然后开启转发功能

echo "1" > /proc/sys/net/ipv4/ip_forward
复制代码

加入NAT table数据包伪装

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
复制代码

此时的iptables 策略为

> iptables-save

# Generated by iptables-save v1.4.21 on Wed Mar 20 01:12:40 2019
*nat
:PREROUTING ACCEPT [200:74558]
:INPUT ACCEPT [126:69331]
:OUTPUT ACCEPT [36:2704]
:POSTROUTING ACCEPT [36:2704]
-A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
COMMIT
# Completed on Wed Mar 20 01:12:40 2019
# Generated by iptables-save v1.4.21 on Wed Mar 20 01:12:40 2019
*filter
:INPUT ACCEPT [343:167886]
:FORWARD ACCEPT [1896:4166748]
:OUTPUT ACCEPT [43:4105]
COMMIT
# Completed on Wed Mar 20 01:12:40 2019
复制代码

经过上面的设置服务器已经具有了SNAT的功能

PC-ONE网络参数设置

设置IP地址

首先查看ip地址

ip address add 192.168.100.201/24 broadcast + dev ens33:0
复制代码

显示

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 00:0c:29:e7:a6:ec brd ff:ff:ff:ff:ff:ff
    inet 192.168.199.176/24 brd 192.168.199.255 scope global noprefixroute dynamic ens33
       valid_lft 43106sec preferred_lft 43106sec
    inet6 fe80::59eb:3929:5162:3f61/64 scope link noprefixroute
       valid_lft forever preferred_lft forever
复制代码

说明已经通过DHCP获取到了局域网IP,这个网段为192.168.199.0/24,所绑定的网卡为ens33

我们不用这个,删除所分配的ip

ip address del 192.168.199.176/24 dev ens33
复制代码

现在我们重新设置一个不同网段的ip,同时绑定到ens33的网卡上,下面命令重的broadcast + 表示全播地址自动计算

ip address add 192.168.100.200/24 broadcast + dev ens33
复制代码
设置PC-ONE路由

查看当前路由

> ip route show

192.168.100.0/24 dev ens33 proto kernel scope link src 192.168.100.200
复制代码

此时ping 我们模拟的公网服务器192.168.199.116肯定是不会通的 因为既不在同一个网段,又没有设置网关

我们添加一个默认的网关,网关的地址就是我们SNAT服务器的私有ip,这个路由信息必须在SNAT服务器设置完私有ip之后才能添加,因为本机与网关之间必须是联通的状态

> ip route add default via 192.168.100.201 dev ens33

> ip route show 

default via 192.168.199.1 dev ens33 proto dhcp metric 100
192.168.100.0/24 dev ens33 proto kernel scope link src 192.168.100.200
复制代码

设置完成后整个链路就变成了下图

于是PC-ONE就隐藏在了SNAT服务器之后,对外只能看到SNAT服务器的地址,SANT充当着防火墙的作用

数据传递链路分析

这次我们在模拟的公网服务器192.168.199.116上监听一个端口

nc -l 8000
复制代码

然后在PC-ONE上连接此端口肯定是可以联通的并互相通信的

从PC-ONE到公网服务器
  1. PC发出的数据报头来源为192.168.100.200,传送到SNAT服务器
  2. SNAT服务器内部接口192.168.100.200接受数据后,分析发现目标地址并非本机,所以把数据转到public ip处
  3. SNAT服务器通过iptables的POSTROUTING链将数据包的报头来源伪装成SANT的public ip,并将两个不同来源192.168.100.200和public ip记录带内存

所以在公共网络上看到这个数据的来源都是来自SNAT的public ip

从公网服务器到PC-ONE
  1. 公网服务器会将响应数据传送给Public IP的主机,即SNAT主机;
  2. 当 Linux NAT 服务器收到来自公网服务器的回应封包后,会分析该封包的序号,并比对刚刚记录到内存当中的数据, 由于发现该封包为后端主机之前传送出去的,因此在 NAT Prerouting 链中,会将目标 IP 修改成为后端主机,亦即那部 192.168.100.200,然后发现目标已经不是本机 (public IP), 所以开始透过路由分析封包流向;
  3. 封包会传送到 192.168.100.201 这个内部接口,然后再传送到最终目标 192.168.100.200 机器上去!

转载于:https://juejin.im/post/5c925a17f265da611f1d86a0

weixin_33828101
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SNATIP段)和配置网络服务、网络会话、远程控制服务
A147254的博客
10-28 1008
SNAT SNAT是一种为了解决IP地址匮乏而设计的技术,它可以使得多个内网中的用户通过同一个外网IP接入Internet。该技术的应用非常广泛,甚至可以说我们每天都在使用,只不过没有察觉到罢了。 服务的访问控制列表 TCP Wrappers是RHEL 7系统中默认启用的一款流量监控程序,它能够根据来访主机的地址与本机的目标服务程序作出允许或拒绝的操作。换句话说,Linux系统中其实有两个层面的防火墙,第一种是前面讲到的基于TCP/IP协议的流量过滤工具,而TCP Wrappers服务则是能允许或禁止Lin
基于iptables的SNAT+DNAT+docker服务器集群搭建
李文彬的博客
08-19 3302
什么是SNATSNAT用于局域网访问互联网,局域网的主机A想访问互联网上的主机C,首先要将数据包发送到防火墙所在的主机B,B收到后修改数据包的源地址为B机的公网IP,然后再发送到互联网。 C机收到后将回应包经互联网发送给B,B收到回应包之后修改回应包的目的地址为A,然后将数据包转发给A。 至此就是SNAT的完整过程,在这个过程中,修改了请求报文的源地址,叫做SNAT(source NAT POSTROUTING),用于局域网访问互联网。 而DNAT(destination NAT POSTROUTIN
SNAT搭建
10-17
详见阐述了SNAT搭建的实验步骤,每一步都有截图,详情见Word
SNAT(/DNAT)策略网络搭建
qq_24263755的博客
10-17 1725
SNAT网络搭建实验要求三台虚拟机IP设置1.内网IP:192.168.2.12.网关IP设置3.外IP:172.16.16.14.网关ping内外网测试网关上设置路由转发1.编辑路由转发配置文件2.网关添加SNAT转发规则内网编写网页内容并在外网访问1.内网安装httpd2.编写httpd配置文件3.外网访问内网验证成功! 实验要求 1.三台虚拟机 2.内网IP:192.168.2.1 网口...
Linux搭建局域网代理服务器.pdf
11-01
- **SNAT**(Source Network Address Translation)用于改变数据包的源IP地址,通常在出站连接中应用,使内部网络的多个设备可以共享一个公网IP。 - **DNAT**(Destination Network Address Translation)则改变...
Linux双网卡搭建NAT服务器.pdf
10-30
SNAT 可以将内网主机的 IP 地址转换成 Linux 系统主机的 IP 地址,而 MASQUERADE 可以将内网主机的 IP 地址伪装成 Linux 系统主机的 IP 地址。 六、DNAT 和 SNAT 的区别 DNAT(Destination Network Address ...
第十九章:iptables高级应用1
08-08
在实际操作中,可能需要同时使用SNAT和DNAT来满足复杂的需求,例如,共享公网IP上网并发布FTP和HTTPD服务,同时控制网关安全。配置流程包括: - a.配置网络参数,启用路由转发。 - b.编写SNAT和DNAT规则,将内网...
【代理】Linux搭建局域网代理服务器.docx
12-16
SNAT(Source Network Address Translation),即源网络地址转换,用于将内部网络用户的 IP 地址转换成公共 IP 地址。DNAT(Destination Network Address Translation),即目的网络地址转换,用于将公共 IP 地址...
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 2214
计算机网络SNAT 和 DNAT 的详细配置步骤
一步步教你配置NAT(服务器篇)
01-21
一步步教你配置NAT(服务器篇) (1)NAT技术 (2)代理服务器技术 (3)Windows Server 2003内置ICS (4)WinRoute Firewall网关 (5)ISA Server企业级Internet接入
linux防火墙——SNAT配置
m0_65544268的博客
07-12 603
用于设置源地址转换(Source NAT)规则的命令。SNAT 是一种网络地址转换技术,它允许将一个网络数据包的源 IP 地址更改为另一个 IP 地址。简单来说,就是修改数据包中的源IP地址。
LINUX_SNAT概述_实验配置
weixin_44393420的博客
10-20 812
一.SNAT概述 1.源地址转换,Source Network Address Translation 源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。 简单来说直接的作用就是修改源IP地址说 2.SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet 3.图解 二.SNAT实验测试 ①实验环境 两台C
搭建测试环境(IP协议,路由协议)
weixin_40720301的博客
10-23 322
1.mac地址:网卡的唯一物理地址 2. 3.什么是IP协议 routeprint:主机路由表
SNAT,是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址
weixin_34257076的博客
04-04 1212
SNAT,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网的数据包发到公网IP后,公网IP会给你的私网IP回数据包,这时,公网IP根本就无法知...
SNAT(源地址转换)
weixin_43965383的博客
12-05 988
防火墙NAT策略之源地址转换
防火墙 iptables(二)-------------SNAT与DNAT搭建
最新发布
zzzxxx520369的博客
02-17 1121
内网主机通过网关服务器的SNAT转换实现访问外网不经过nat的地址为PC1(centos1)自己的地址,使用虚拟机环境才会出现这种情况,市场环境是不通的。经过nat之后的地址是公司的公网ip地址,由网关服务iptables规则SNAT实现。
SNAT源地址转换基本概念以及应用
江晓龙的博客
07-11 2017
所谓的SNAT源地址转换的意思指的是修改数据包中的源地址信息,典型的应用场景就是带动局域网主机上网,如下图所示,公司有很多台电脑,都需要上网,这时就可以在防火墙中配置一个SNAT地址转换,某个网段进入防火墙后通过SNAT修改源地址信息,修改为防火墙的公网地址,由防火墙去互联网环境中请求数据,最后返回给公司电脑,带动局域网上网。SNAT源地址转换的应用场景:SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的源地址
配置SNAT实现共享上网: 搭建内外网案例环境 配置SNAT策略实现共享上网访问
彭淦淦的博客
04-23 1163
4.1 问题 本案例要求设置防火墙规则,允许位于局域网中的主机可以访问外网,主要包括下列服务搭建内外网案例环境 配置SNAT策略实现共享上网访问 4.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建内外网案例环境 表-4 实验拓扑 这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。 现在,在外部网络中有一台web服务器192.168....
怎么统一给内网所有服务器做snat
06-01
如果需要给内网所有服务器做SNAT,可以在路由器或防火墙设备上进行配置。具体的步骤如下: 1. 确定需要进行SNAT的内网IP地址段。 2. 在路由器或防火墙设备上创建SNAT规则,将内网IP地址段转换为公网IP地址。 3. 配置SNAT规则的优先级,确保其优先级高于其他规则。 4. 启用SNAT规则并保存配置。 需要注意的是,具体的SNAT配置方式和步骤会根据使用的路由器或防火墙设备而有所不同。在进行配置之前,建议先了解设备的使用手册和相关文档,或者咨询设备厂商的技术支持人员,以确保配置的正确性和安全性。 此外,在进行SNAT配置之后,还需要进行相应的安全措施,例如启用防火墙、更新系统补丁等,以确保内网服务器的安全可靠。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值