iptables防火墙之SNAT、DNAT策略及应用

最新推荐文章于 2024-08-15 20:29:14 发布
最新推荐文章于 2024-08-15 20:29:14 发布
阅读量336 收藏 1
点赞数
文章标签: linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47062656/article/details/122403109
版权

SNAT原理及应用

SNAT应用环境

局域网主机共享单个公网IP地址接入Internet ( 私有IP不能在Internet中正常路由)

SNAT原理

修改数据包的源地址

SNAT转换前提条件

  • 局域网各主机已正确设置IP地址、子网掩码、默认网关地止
  • Linux网关开启IP路由转发

实现方法

编写SNAT转换规则

TROUTING(路由选择后再处理) -s 指定的网段 -o 指定出站的网卡 -j SNAT --to-source 指定的外网地址

路由转发开启方式

临时打开: 
echo 1 > /proc/sys/net/ ipv4/ip_ forward
或
sysctl -w net. ipv4.ip_ forward = 1
 
永久打开:
 
vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1      #将此行写入配置文件
sysctl -p      #读取修改后的配置

SNAT转换

SNAT转换1: 固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -0 ens36 -j SNAT --to 12.0.0.1

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10               内网IP   出站外网网卡  
外网IP或地址池
 
SNAT转换2: 非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE

小知识扩展:

一个IP地址做SNAT转换, 一般可以让内网100到200 台主机实现上网。

DNAT策略概述

DNAT策略的典型应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

  • 目标地址转换
  • 修改数据包的目标地址

DNAT策略的应用

前提条件

  • 局域网的Web服务器能够访问Internet
  • 网关的外网IP地址有正确的DNS解析记录
  • Linux网关支持IP路由转发

实现方法

编写DNAT转换的规则

iptable -t nat -A PREROUTING(路由选择之前处理) -i ens33(指定的入站网卡) -d 外网接口的IP地址 -p tcp --dport 80(发布的服务端口) -j DNAT(控制类型) --to-destination Web主机的内网IP地址
 
-A 指定路由选择之前处理
 
-i 指定的入站网卡
 
-d 指定外网接口的IP地址
 
--dport 指定发布的服务端口
 
-j 指定控制类型
 
--to-destination 指定Web主机的内网IP地址

防火墙规则的备份和还原

导出(备份)所有表的规则

iptables-save > /opt/ipt.txt

导入(还原)规则

iptables-restore < /opt/ipt. txt
 
将iptables规则文件保存在/etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则
iptables-save > /etc/ sysconfig/iptables
systemctl stop iptables    #停u止iptables服务会清空掉所有表的规则
systemctl start iptables    #启动iptables服务会自动还原/etc/ sysconfig/iptables中的规则

tcpdump tcp -i ens33 -t -S 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -W ./target. cap
 
(1)tcp:"ip icmp arp rarp和tcp、udp、icmp这些选项等都要放到第一 -个参数的位置,用来过
滤数据报的类型
(2)-i ens33 : 只抓经过接口ens33的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dstport ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal (即wireshark)分析

羽织歌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables防火墙之SNAT与DNAT
qjwthink的博客
12-07 259
一、SNAT策略应用 1.1SNAT策略概述 SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理 源地址转换 修改数据包的源地址 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 1.2开启SNAT的命令 1.2.1临时打开 echo 1 >/proc/sys/net/ipv4/ip_forward 或 sysctl ...
使用SNAT、DNAT策略实现网关应用
09-08
打开密码 www.clvn.com.cn
iptables之SNAT与DNAT
weixin_56270746的博客
05-16 1621
一、SNAT策略应用 1、SNAT策略概述 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发送数据 Linux网关开启IP路由转发 1.2、开启SNAT命令 Linux系统本身是没有转发功能 只有路由发送数据 临时开启 echo 1 >/proc/s
iptables防火墙之SNAT、DNAT及firewalld防火墙
2303_79207100的博客
10-07 917
SNAT:源地址转换DNAT:目的地址转换核心:通过iptables进行地址转换SNAT内网→外网:改变源地址DNAT外网→内网:改变目的地址(重要)linux系统能抓包吗?可以。使用linux系统自带的抓包工具tcpdump来抓包抓包方式:1、指定抓包的数量tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w ./target.cap #指定抓包数量10个2、动态抓包。
iptables DNAT详解
热门推荐
韦编二绝
07-22 1万+
文章出处:http://hi.baidu.com/allenspace/blog/item/cbba05f3b41c5dcb0b46e0ef.html/cmtid/4259a264aa35ecfcf636545f   DNAT target     这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可
iptables 防火墙中的SNAT和DNAT
WuDan_1112的博客
05-11 1411
前言 通过上一章的学习,我们认识了防火墙的表、链结构,并学会了简单的编写防火墙的规则。Linux 防火墙在很多的时候承担着连接企业内、外网的重任,除了提供数据包过滤以外,还提供一些基本的网关应用。下面我们将了解防火墙中的SNAT 和DNAT策略。 一、SNAT策略 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT原理 源地址转换(Source Network Address Translation),根据指
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
iptables防火墙应用指南
05-31
### iptables防火墙应用指南 #### 1. iptables简介 **1.1 iptables防火墙简介** iptables是一款广泛应用于Unix/Linux系统的免费包过滤防火墙工具。它具有强大的功能和高度灵活性,能够精确控制流入、流出以及通过...
Linux防火墙——iptables(SNAT与DNAT详细)
oyyy3的博客
11-02 6309
一.SNAT 1.原理 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 2.转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 linxu想系统本身是没有转发功能 只有路由发送数据 tips:一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...
iptables中实现内外网相互访问——SNAT与DNAT的原理与应用
zcien的博客
02-14 1429
SNAT与DNAT的原理与应用
Iptables防火墙详解
qq_72116999的博客
02-22 898
iptables -t 表名 -A/I/D/R 规则链名/规则号 -i/o 网卡名 -p 协议名 -s 源IP/源子网 -- sport 源端口 -d 目标IP/目标子网 -- dport 目标端口 -j 动作。-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT # 放行ssh端口 添加来源IP地址。-A INPUT -s 172.16.1.0/24 -p tcp -m tcp --dport 22 -j DROP # 规则已写入。
iptables详解——SNAT和DNAT
Lqj的博客
07-13 1303
本篇文章主要介绍NAT技术(NAT,Network Address Translation,网络地址转换),以及iptables相关的实操。
iptables中DNAT的配置方法
weixin_30518397的博客
01-19 428
转载自:http://blog.csdn.net/bill_lee_sh_cn/article/details/4401896 1.一对一流量完全DNAT 首先说一下网络环境,普通主机一台做防火墙用,网卡两块 eth0 192.168.0.1 内网 eth1 202.202.202.1 外网 内网中一台主机 192.168.0.101 现在要把...
linux:有关目录、链接文件的函数 Makefil、gdb的使用
最新发布
T66656的博客
08-15 1027
功能:根据用户id到/etc/passwd文件下解析获得结构体信息参数:uid:用户id返回值:成功返回id对应用户的信息失败返回NULLpasswd结构体的定义通常如下所示。
iptables SNAT DNAT
07-28
iptables是一个在Linux系统上用于配置防火墙规则的工具。SNAT和DNATiptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。 DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址。它通常用于将公共网络上的目标IP地址转换为内部网络的私有IP地址,以便数据包可以正确地被内部网络中的主机接收。 这些选项在iptables规则中使用,可以按照特定的条件对数据包进行转换和定向,以实现网络流量的控制和管理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值