防火墙SANT实践:桥接网络连接客户机

最新推荐文章于 2024-05-06 16:19:33 发布
最新推荐文章于 2024-05-06 16:19:33 发布
阅读量667 收藏
点赞数 1
分类专栏: 计算机网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47661140/article/details/119721990
版权
本文档详述了一个使用Linux虚拟机进行SNAT策略实验的过程,包括网络规划、网关配置、防火墙与selinux关闭、路由开启以及SNAT脚本的编写。实验目的是实现局域网内主机通过单个公网IP地址访问Internet。在实验中,遇到了如防火墙未关闭导致的网络不通等问题,并提供了相应的解决方案。
摘要由CSDN通过智能技术生成

一.实验准备

1.两台虚拟机
2.准备画图工具,规划网络

备注:SNAT策略的的典型应用环境–》局域网主机共享单个公网IP地址接入Internet

策略原理

1.源地址转换,source Network address Translation

2.修改数据包的源IP地址

什么叫网关?

服务器的LAN口

二.实验步骤

一》进行网络规划,使用桥接模式时,wan口网段要和本机连接的WiFi在同一个网段比如:我的实验都在31网段下----我的实验规划如下图所示:
在这里插入图片描述

一般虚拟机都只有一个网卡,需要手动添加一个:

操作步骤:
1.先关闭虚拟机
2.点击编辑虚拟机
3.点击添加如图:
在这里插入图片描述4.点击网络适配器,然后点击确定即可一般虚拟机不会自动生成网卡配置文件,后续需要在虚拟机配置另外一个网卡文件操作步骤放入文档下面
在这里插入图片描述

三.正式开始实验

1.配置用来做网络服务器的虚拟机

1.进入 /etc/sysconfig/network-scripts/修改文件你要配置的网卡(我这里修改的的是ens33和ens37)
2.进入后你会发现只有ens33的配置文件,这里就是我前面说的添加网卡不会自动生成配置文件 ,cp ifcfg-ens33 ifcfg-ens37
3.对配置文件ens33进行修改:

BOOTPROTO="none"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes
IPADDR="192.168.0.204"
PREFIX="24"
GATEWAY=192.168.0.1
DNS1=114.114.114.114

对ens37配置

BOOTPROTO="none"
NAME="ens37"
DEVICE="ens37"
ONBOOT="yes"
IPADDR="192.168.70.254"
PREFIX="24"

4.刷新网络服务:
CentOS7 ===>service neteork restart
CentOS 8 ====> ifup ens33 /ifup ens37

2.配置客户机

客户机只需要配置IP地址和网关,DNS

BOOTPROTO="none"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR="192.168.60.1"
PREFIX="24"
GATEWAY=192.168.60.254
DNS1=114.114.114.114

刷新网络服务:
CentOS7 ===>service neteork restart
CentOS 8 ====> ifup ens33 /ifup ens37

3.关闭防火墙和selinux

无论是客户机还是网关服务器机都要关闭selinux和防火墙

简答介绍下selinux是系统的一个安全机制
关闭seliunx

#临时关闭selinux:	
setenforce 0 
#永久关闭seliunux
vim /etc/sysconfig/selinux
#然后修改
SELINUX=disable
#然后重启生效
reboot

关闭防火墙

#临时关闭 ===>马上关闭
service firewall stop 
#永久关闭
systemctl disable firewalld

4.开启路由功能

临时开启路由
echo 1 >/proc/sys/net/ipv4/ip_forward
永久开启路由:vim /etc/sysctl.conf
在里面写入一条命令:net.ipv4.ip_forward = 1
reboot重启
注意:如果Windows里面没有到客户机网段的需要手动添加

在windows里添加了一条到192.168.60.0网段的路由
C:\Users\Administrator>route add 192.168.60.0/24 192.168.31.20
············································· 目标网段 ··········· 下一跳地址

5.编写SNAT脚本

#开启SNAT功能

[root@firewall 7-30]# vim snat.sh

[root@firewall 7-30]# cat snat.sh
#!/bin/bash

#清除filter表和nat表里的防火墙规则
iptables -F
iptables -t nat -F

#SNAT策略

iptables -t nat -A POSTROUTING  -s 192.168.60.0/24 -o ens33 -j SNAT --to-source 192.168.31.204

#关闭firewalld服务
service firewalld stop
#设置开机不启动firewalld服务
systemctl disable  firewalld

6.检测实验成果

使用客户机ping 百度能ping通就说明实验成功了
在这里插入图片描述

7.实验时候遇到的问题总结与自我分析

1.firewall没有关闭无法ping通域名
2.xshell断开,IP地址更改了需要重新填写IP地址
3.客户机无法连接xshell因为客户机不在31号网段下所有无法连接xshell但是通过网关服务器机ssh + ip 连接到客户机
4.配置网卡时候容易把IPADDR写成IPADD
5.桥接模式配置的网段必须和真实机一样

今天你又写bug了吗
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
锐捷防火墙(WEB)——透明桥模式场景(1)
君逍遥o
09-20 1717
在不改变现有网络拓扑前提下,将防火墙NGFW以透明模式部署到网络中,放在路由器和服务器之间,防火墙为透明模式,对Server192.168.1.10进行保护。
NAT实验:桥接模式下使用SNAT策略连通客户机
李文彬的博客
08-01 4515
一、前言:什么是SNAT? SNAT用于局域网访问互联网,局域网的主机A想访问互联网上的主机C,首先要将数据包发送到防火墙所在的主机B,B收到后修改数据包的源地址为B机的公网IP,然后再发送到互联网。 C机收到后将回应包经互联网发送给B,B收到回应包之后修改回应包的目的地址为A,然后将数据包转发给A。 至此就是SNAT的完整过程,在这个过程中,修改了请求报文的源地址,叫做SNAT(source NAT POSTROUTING),用于局域网访问互联网。 而DNAT(destination NAT POSTR
防火墙桥接
weixin_33713503的博客
06-03 2042
未部署防火墙前的拓扑:部署防火墙后的拓扑:部署防火墙后,修改配置如下: 删除VLAN21的地址,在核心交换机上新建VLAN2021,把原本定义在VLAN21上的地址放在VLAN2021上。使用TRUNK与飞塔防火墙相 连,TRUNK内包含VLAN2021和VLAN21。客户端通过此模式可以访问到服务器,并经过防火墙。 报文流程:...
防火墙的两种组网模式:三层路由网关模式、二层透明网桥模式
最新发布
网络技术联盟站
05-06 2582
在三层路由网关模式中,防火墙被配置为网络的三层路由网关,与原有的路由器相比,它不仅能够实现路由功能,还具备了防火墙的安全防护能力。通过这种模式,防火墙能够在网络中充当数据包的传输节点,负责对数据包进行路由和安全检查,从而保障网络的安全性。在二层透明网桥模式中,防火墙作为二层透明网桥接网络,不会改变原有的网络结构,同时可以与路由模式共存。在这种模式下,防火墙会学习网络中的MAC地址,并根据预设的安全策略对数据包进行转发或丢弃,实现网络安全防护。
linux 网络配置和系统管理操作(NAT模式、桥接模式、设置静态ip、防火墙开闭和自启动以及状态查询、端口开闭以及批量开闭、关机)
热门推荐
不是一枚开发
04-16 4万+
文章目录1 vmware查看网络IP和网关1.1 NAT模式1.2 桥接模式2 配置网络ip地址2.1 查看ip地址测试通信2.2 修改IP地址,设置静态ip3.配置主机名3.1 修改主机名称3.2 修改hosts映射文件 1 vmware查看网络IP和网关   vmware(虚拟机使用的NAT模式)查看虚拟网络编辑器: 1.1 NAT模式 使用VMware自己的网络连接模式,让当前客户机和创建的虚拟机组成一个小型局域网   虚拟机向外发送数据容易,虚拟机以客户机的名义转发,外部网络返回的响应数据也
tcss491-Sant-Brothers-Web-Game:TCSS 491 Winter网络游戏项目
03-13
【标题】"tcss491-Sant-Brothers-Web-Game:TCSS 491 Winter网络游戏项目"指的是一个基于Web的网络游戏项目,它可能是TCSS(可能代表技术计算机科学课程)491冬季学期的一个课程项目。这个项目受到了经典游戏"Super ...
KwaiPrep.zip_Sant_zip
07-13
Terminal command, Unlock FW
ManufactureKubernetes:Découvrirkubernetes en s'a-mu-sant
03-17
制造Kubernetes Découvrirkubernetes en s'a-mu-sant。 码头工人的基本概念,码头工人的基本原则,kubernetes的帮助,基于HTML的应用程序API和基于API的应用程序API。前卫的建议您好,入门者, 管理员,您好。 需要...
SCSIminivd.rar_Sant_scsi_scsi miniport_scsi接口_whichcdo
07-14
SCSI虚拟磁盘程序,使用scsi miniport接口。
did:一个Stata包,用作Callaway和Sant'anna的R did包的包装
03-31
做过一个Stata包,用作Callaway和Sant'anna的R did包的包装。 这大量使用了软件包。 该项目目前正在开发中,尚无法使用。 您可以安装*做了与net install did, from(...
清华同方紫荆顿防火墙桥模式的配置
weixin_34237596的博客
04-19 453
清华同方紫荆顿防火墙桥模式的配置 如果有一个已经建成的网络系统,我们不希望对系统和网络结构进行任何修改,而又需要防火墙对内部服务器进行保护,可以将NETST防火墙配置为桥模式,可以不改变原来的网络架构,完全透明地实现防火墙功能。 连接及登录 箱内提供一条DB9到DB9连接线与防火墙console口相连并开启防火墙,...
华为ensp模拟器防火墙桥接保姆级教程
白话聊网络的博客
02-19 4055
华为ensp模拟器防火墙桥接
防火墙(Iptables NAT)
ailu3588的博客
07-28 243
1.nat 透明转发源地址和目标地址不会改变环境配置:三台机器:一台:更改网关: [root@whya ~]# ip route add default via 192.168.60.160 [root@whya ~]# ip route del default via 192.168.60.2 [root@whya ~]# ip route list default v...
实现一个网桥式防火墙
程序人生
09-29 2102
实现一个网桥式防火墙原作者: David Whitmarsh编译:ideal ideal@linuxaid.com.cn>传统防火墙和网桥式防火墙有什么区别呢?通常一个防火墙象一个路由器一样工作:内部系统被设置为将防火墙看做是通向外部网络的网关,并且外部的路由器被设置为将防火墙看做是连往内部被保护的网络的网关。一个网桥则是一个联结一个或多个网段的设备,在各个网段之间转发数据,而
Linux-SNAT和DNAT
小工匠
10-10 1万+
概述 Linux-iptables命令 Linux-SNAT和DNAT 在上一博客Linux-iptables命令中,我们知道了一些iptable的nat表中几个链的区别,这里单独讲其中两个链拿出来详细说明。 DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映射。 SNAT(Source Network Addres...
防火墙知识总结
weixin_49291988的博客
07-19 2085
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内网是高度信任的区域。以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。...............
防火墙模块工作模式配置
chengfangang的专栏
02-21 3940
http://www.ruijie.com.cn/htmls/3-23/RG-S8600peizhi/Cap2.htm 2.1              工作模式概述 M8600-FW防火墙模块可以工作在路由模式或透明模式。 Ø         路由模式: 该模式的防火墙模块可以让处于不同网段的设备通过路由转发的方式进行               相互通信,IP报文到达防火墙业务
SAN 交换机基本配置
weixin_33872660的博客
12-09 495
首先添加别名并指定wwn号;然后添加zone并指定别名,最后添加cfg并指定zone。ali -----> zone ------>cfg添加wwn别名: alicreate "wwn别名","wwn端口号1;wwn端口号2" alicreate "A9_host_hba1","wwn1_name;wwn2_name" alic...
配置 SNAT 和NAT
xo_zhang的专栏
05-07 7585
• 安全网络地址转换简介 • 创建SANT pool • 实施SNAT • 实施NAT • 管理SNAT 和NAT • SNAT 示例 安全网络地址转换简介 在 BIG-IP®本地流量管理(LTM)系统上配置的Real Server 可以将入 站数据包的目的地IP 地址转换为另一个目的地IP 地址,以便对该数据 包进行负载平衡。通常,源IP 地址保持不变。 此外,也可以创建安全
介绍DNAT和SANT
05-04
DNAT(Destination Network Address Translation)和SANT(Source Address Network Translation)都是网络地址转换技术。 DNAT是一种网络地址转换技术,它将目标IP地址和端口号从一个网络地址转换为另一个网络地址...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值