Linux防火墙——iptables之SNAT与DNAT详细讲解

最新推荐文章于 2023-07-13 07:45:00 发布
最新推荐文章于 2023-07-13 07:45:00 发布
阅读量341 收藏 2
点赞数
分类专栏: 防火墙 Linux 文章标签: linux 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53246927/article/details/124563207
版权

每日分享:
世界会向那些有目标和远见的人让路。

文章目录

一、SNAT原理与应用

1、应用环境

局域网主机共享单个公网IP地址接入Internet(私有ip不能在Internet中正常路由)

2、原理

修改数据包的源地址,根据指定条件修改数据包的源IP地址,通常被叫做源映谢。

3、SNAT转换前提:

  • 局域网各主机已正确设置IP地址、子网掩码、默认网关的地址

  • Linux网关开启IP路由转发

4、SNAT打开方式

4.1、临时打开

方法一
echo 1 > /proc/sys/net/ipv4/ip_forward
方法二
sysctl -W net.ipv4.ip_forward=1

4.2、永久打开

vim /etc/sysct1.conf
net.ipv4.ip_forward =1   ##将此行写入配置文件
然后保存退出
sysctl -p   ##将取修改后的配置

5、SNAT转换

一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网。

5.1、SNAT转换1:固定的公网IP地址


#配置SNAT策略,实现snat功能,将所有192.168.100.0这个网段的ip的源ip改为12.0.0.1
方法一
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 12.0.0.1
方法二
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                     内网ip出站       外网网卡                      外网IP或地址池

5.2、SNAT转换2:非固定的公网IP地址(共享动态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

二、DNAT原理与应用

1、应用环境

在Internet中发布位于局域网内的服务器

2、原理

目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。

3、DNAT转换前提条件

  • 局域网的服务器能够访问Internet

  • 网关的外网地址有正确的DNS解析记录

  • Linux网关开启IP路由转发

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
保存退出
sysctl -p

4、DNAT转换

一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网。

4.1、DNAT转换1:发布内网的Web服务

#把从ens37进来的要访问web服务的数据包目的地址转换为192.168.100.20
方法一
iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.20
或                                入站     公网IP                                  内网服务器IP
iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.20
                              入站          公网IP                 端口                            内网服务器IP

4.2、DNAT转换2:发布时修改目标端口

#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens37 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.100.20:22
						入站外网网卡        外网IP           外网远程端口			 内网IP和远程端口号

三、实验

1、实验要求:
两台Linux虚拟机:
一台是网关服务器,内网ens33的IP地址为192.168.100.10(nat1);外网ens36的IP地址为12.0.0.254(nat2)
一台web服务器,IP地址为192.168.100.20(nat1)
一台Windows虚拟机(客户端)(nat2)

2、实验准备:
关闭三台机子的防火墙
在web服务器中安装httpd服务

3、开始实验
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

网关服务器
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

web服务器
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Windows客户端
在这里插入图片描述
在这里插入图片描述

网关服务器
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

web服务器
在这里插入图片描述

Windows客户端
在这里插入图片描述

网关服务器
在这里插入图片描述

Windows客户端
在这里插入图片描述

四、防火墙规则的备份和还原

导出 (备份)所有表的规则

iptables-save > /opt/ipt.txt

导入(还原)规则

iptables-restore < /opt/ipt.txt

将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则

iptables-save >/etc/sysconfig/iptables
systemctl stop iptables		##停止iptables服务会清空掉所有表的规则 				
systemctl start iptables    ##启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

五、Linux抓包工具——tcpdump

tcpdump tcp-i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

(1)tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i ens33 ∶只抓经过接口ens33的包
(3)-t ∶不显示时间戳
(4)-s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
(5)-c 100 ∶只抓取100个数据包
(6)dst port ! 22 ∶不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机
(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析

橘子超好吃
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SNAT和DNAT原理应用
renjian21的博客
07-15 309
SNAT和DNAT原理应用 一、 SNAT原理的应用 1.1 原因环境和原理 SNAT 应用环境∶局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理∶修改数据包的源地址。 SNAT转换前提条件∶ 局域网各主机已正确置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 1.2 开启SNAT的命令 1.临时打开∶ echo 1 >/proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.
WEB网站服务(二)2020-09-25
师走的博客
09-25 1456
一、 安装apache 1、 挂载光盘前需要切换为Linux.iso 2、 挂载光盘并解包 [root@centos01 httpd-2.2.17]# mount /dev/cdrom /mnt/ 3、 配置apache [root@centos01 httpd-2.2.17]# ./configure –prefix=/usr/local/httpd --enable-so --enable-cgi --enable-rewrite –enable-charset-lite 4、 编译安装a
Openstack安装与部署:Horizon组件的安装与配置
离人散
12-31 911
Openstack安装与部署:Horizon组件的安装与配置 该项的所有操作只在controller0主机上进行使用root用户进行。 首先安装Django14 把Django14-1.4.13-1.el6.noarch.rpm上传到/home目录下。 执行命令安装: #rpm -ivh Django-1.4.13-1.el6.noarch.rpm 安装Horizon组件 #yum clean ...
搭建先电云平台
weixin_44725244的博客
05-12 3004
搭建先电云平台 一、需求 1、两台虚拟机------controller、compute 2、centos与xiandian镜像 3、一台内存8G的电脑 4、CRT远程链接软件 二、controller节点安装步骤 #mkdir /opt/centos //创建centos文件夹 #mkdir /opt/iaas //创建iaas文件夹 #mount /dev/sr0 /opt/centos //...
网络概念
都枯槐的博客
06-15 1430
网络概念 网络 网络是由节点和连线组成的图,表示诸多对象及其关系 计算机网络 计算机网络是将地理位置不同的具有独立功能的多态计算机及其外部备,通过通信线路物理连接(包括有线连接、无线连接),并在网络操作系统、网络管理软件和网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。 带宽 在数字备中,指的是单位时间数据的传输量 网络传输习惯上使用比特率,即bps每秒传输的二进制位数 拓...
Linux防火墙之SNAT与DNAT
weixin_68579466的博客
07-14 411
SNAT策略的典型应用环境局域网主机共享单个公网IP地址接入InternetSNAT策略的原理源地址转换,SourceNetworkAddressTranslation修改数据包的源地址,通常被叫做源映射SNAT转换前提条件1.局域网各主机已正确置IP地址、子网掩码、默认网关地址2.Linux网关开启IP路由转发linxu系统本身是没有转发功能只有路由发送数据临时打开或永久写入注还有一种方式静态路由,这个就比较麻烦。...
防火墙(二)之SNAT原理与应用(理论,待试验)
Gloom丿郁的博客
01-31 400
SNAT原理与应用: 文章目录SNAT原理与应用:SNAT应用环境:SNAT原理:SNAT转换前提条件:SNAT转换1:SNAT转换2:DNAT原理与应用:DNAT 应用环境:DNAT原理:DNAT转换前提条件:DNAT转换1:DNAT转换2:防火墙规则的备份和还原导出(备份)所有表的规则导入(还原)规则 SNAT应用环境: 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理: 修改数据包的源地址。 SNAT转换前提条件: 1.局域网各主机已正确
Linux防火墙——iptables(SNAT与DNAT详细
oyyy3的博客
11-02 5557
一.SNAT 1.原理 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 2.转换前提条件 局域网各主机已正确置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 linxu想系统本身是没有转发功能 只有路由发送数据 tips:一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...
LinuxIptables 详解与实战案例
康师傅没有眼泪
07-03 3504
​ netfilter/iptables(简称为iptables)组成 Linux 平台下的网络数据包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。...
iptables详解——SNAT和DNAT
Lqj的博客
07-13 1068
本篇文章主要介绍NAT技术(NAT,Network Address Translation,网络地址转换),以及iptables相关的实操。
iptables-dnat
09-20
iptables nat snat dnat 负载均衡
iptables之SNAT和DNAT
最新发布
01-08
iptables、SNAT和DNAT实验
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》
06-01
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》,如何配置snat,dnat,等等
构筑Linux防火墙IPtables的概念与用法
05-14
实际的操作分为以下几类: <br>◆ DNAT <br>◆ SNAT <br>◆ MASQUERADE <br>DNAT操作主要用在这样一种情况,你有一个合法的IP地址,要把对防火墙的访问 重定向到其他的机子上(比如DMZ)。也就是说,...
初学者的OpenStack平台搭建
qq_50981675的博客
11-20 1846
Openstack平台搭建 一、创建两台新虚拟机 controller 节点 1、内存 2G 2、硬盘 boot 200M swap 8G / 剩下的全给它 3、网络编辑器 仅主机模式 : IP地址 192.168.100.10 网关 192.168.100.1 NAT模式: IP地址 192.168.200.10 网关 不用配 compute 节点 1、内存 4G 2、硬盘 boot 200M swap 16G / 100G 3、网络编辑器 仅主机模式 :
CentOS 7.4搭建Apache网站服务
:Struggle.
10-26 315
博文目录 一、Apache是什么? 1、Apache的起源 2、Apache的主要特点 二、Apache的主要版本 三、安装httpd服务器 1、挂载光盘 2、源码编译及安装 3、Apache全局配置项 4、安装DNS域名解析服务 一、Apache是什么? Apache HTTP Server是广泛应用的Web应用系统之一,要运用好它,必须先了解它的特点及其编译安装过程。 Apache...
iptables DNAT详解
热门推荐
韦编二绝
07-22 1万+
文章出处:http://hi.baidu.com/allenspace/blog/item/cbba05f3b41c5dcb0b46e0ef.html/cmtid/4259a264aa35ecfcf636545f   DNAT target     这个target是用来做目的网络地址转换的,就是重写包的目的IP地址。如果一个包被匹配了,那么和它属于同一个流的所有的包都会被自动转换,然后就可
iptables SNAT DNAT
07-28
iptables是一个在Linux系统上用于配置防火墙规则的工具。SNAT和DNATiptables中的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。 DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址。它通常用于将公共网络上的目标IP地址转换为内部网络的私有IP地址,以便数据包可以正确地被内部网络中的主机接收。 这些选项在iptables规则中使用,可以按照特定的条件对数据包进行转换和定向,以实现网络流量的控制和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值