SNAT和DNAT策略

SNAT策略概述

SNAT策略的典型应用环境
局域网主机共享单个公网IP地址接入Internet

SNAT策略的原理

源地址转换(Source Network Address Translation)
修改数据包的源地址。

SNAT的典型应用环境

局域网共享上网

NAT工作原理

在这里插入图片描述

配置前提条件
局域网各主机正确设置IP地址/子网掩码
局域网各主机正确设置默认网关地址
Linux网关支持IP路由转发
实现方法:编写SNAT转换挥规则

[root@client ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to-source 218.29.30.31

SNAT与DNAT实验

实验环境
Centos 7.6、VMware Workstation 15.5
实验准备
准备三台centos7.6虚拟机,分别作为内网机、防火墙、外网机
分别在内网机及外网机上安装并开启httpd服务,并清空自身的防火墙规则(作为防火墙的虚拟机也要清除规则!):iptables -F
将三台虚拟机的网卡调整为VM1(仅主机模式),其中防火墙要添加双网卡
内网机IP地址为:192.168.100.100
外网机:12.0.0.12
防火墙:(内):192.168.100.1
​ (外):12.0.0.1
实验步骤:
1、在防火墙机上开启数据转发功能
进入配置文件:vi /etc/sysctl.conf
在末行添加以下内容:net.ipv4.ip_forward=1
使配置立即生效:sysctl -p

在作为防火墙的虚拟机上添加如下规则

iptables -t nat -I POSTROUTING -s 192.168.100.100 -o ens36 -j SNAT --to-source 12.0.0.1
在内网机上访问外网机上的http服务:
在这里插入图片描述在外网机上查看http服务的访问日志,路径:cat /var/log/httpd/access_log
aG3woq.md.png
在这里插入图片描述
可以看出访问的地址发生了变化,已经不是192.168.100.100了,而是12.0.0.1
到目前为止外网机还不能直接访问内网机,所以要在防火墙上添加如下规则:

iptables -t nat -I PREROUTING -d 12.0.0.1 -i ens36 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.100

在这里插入图片描述接着在外网机的浏览器上直接访问地址12.0.0.1,发现已经可以访问了

已标记关键词 清除标记
©️2020 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页