iptables防火墙(2)SNAT和DNAT的原理及应用

最新推荐文章于 2024-03-19 14:15:37 发布
最新推荐文章于 2024-03-19 14:15:37 发布
阅读量347 收藏 1
点赞数
分类专栏: 防火墙 文章标签: iptables 网关 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55609823/article/details/117249261
版权

SNAT与DNAT

SNAT

SNAT的应用环境

局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)

SNAT原理

修改数据包的源地址

SNAT转换前提条件

1.局域网各主机已正确设置IP地址子网掩码默认网关地址

2.Linux网关开启IP路由转发

有两种打开IP转发功能方式

临时打开:
echo 1 > /proc/sys/net/ipv4/ip_ forward

sysctl -w net.ipv4. ip_ forward=1

永久打开:
vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1        #将此行写入配置文件

sysctl -P                         #读取修改后的配置

SNAT转换

固定的公网IP地址

iptables -t nat -A POSTRORTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                   内网IP          出站 外网网卡                     外网IP或地址池

实验操作

在这里插入图片描述

安装httpd服务并开启
在这里插入图片描述
设置不同的网络,服务器centos5使用VMnet1,网关做两个网卡,客户端使用网络VMnet2
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
用服务器访问下自己试试,可以访问
在这里插入图片描述

配置网关服务器
在这里插入图片描述
在这里插入图片描述
重启网卡,可以看到配置IP地址有了
在这里插入图片描述

因为网关服务器是centos4,所以服务器的网关需要改成centos4的IP地址
在这里插入图片描述
可以看到网关服务器也可以去访问服务器IP
在这里插入图片描述
配置客户端,设置IP
在这里插入图片描述
可以看到我们可以ping通网关服务器
在这里插入图片描述
我们去访问下服务器,结果访问不了
在这里插入图片描述
我们需要打开IP路由转发
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
做SNAT转换,先查看规则,把规则都干掉
在这里插入图片描述
在这里插入图片描述
进行SNAT转换
在这里插入图片描述
我们再去访问就可以访问了

在这里插入图片描述

非固定的公网IP地址(共享动态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -0 ens33 -j MASQUERADE

.

注意!一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网。

DNAT

DNAT应用环境

在Internet中发布位于局域网内的服务器

DNAT原理

修改数据包的目的地址。

DNAT转换前提条件

1.局域网的服务器能够访问Internet

2.网关的外网地址有正确的DNS解析记录

3.Linux网关开启IP路由转发

vim /etc/ sysctl.conf
net.ipv4.ip_forward = 1
sysctl -P

DNAT转换(1)

发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为192. 168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11
                            入站 外网网卡    外网IP                                             内网服务器IP
                            
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20

DNAT转换(2)

发布时修改目标端口

#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables一t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools
#若没有ifconfig 命令可提前使用yum 进行安装
ifconfig ens33
注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回

实验操作

实现DNAT转换客户端访问服务器
在这里插入图片描述
前面还是一样配置,服务器给VMnet1,客户端给VMnet2,网关配双网卡

第一步还是配置网卡,服务器网关改成网关IP
在这里插入图片描述
修改网关服务器客户端内网网卡和外网网卡
在这里插入图片描述
在这里插入图片描述
开启IP转发功能
在这里插入图片描述
在这里插入图片描述
配置客户端IP
在这里插入图片描述
配置好我们了可以ping通
在这里插入图片描述
但是做DNAT我们需要访问12.0.0.1,但是我们访问不了
在这里插入图片描述
这里我们需要做DNAT转换
在这里插入图片描述
可以看到,我们可以访问了
在这里插入图片描述

小知识扩展

主机型防火墙主要使用INPUTOUTPUT链,设置规则时一般要详细的指定到端口

网络型防火墙主要使用FORWARD链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可

防火墙规则的备份和还原

导出(备份)所有表的规则
iptables-save > /opt/ ipt.txt

导入(还原)规则
iptables-restore < /opt/ ipt.txt

实验规则快速还原

将iptables规则文件保存在/etc/sysconfig/iptables中,iptables服 务启动时会自动还原规则
iptables-save > /etc/sysconfig/ iptables
systemctl stop iptables             #停止iptables服务会清空掉所有表的规则
systemctl start iptables            #启动iptables服务会自动还原/etc/ sysconfig/ iptables中的规则

tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w . /target. cap

(1) tcp:ip、icmp、arp、rarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型

(2) -i ens33 :只抓经过接口ens33的包

(3) -t:不显示时间戳

(4) -s 0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包

(5) -c 100:只抓取100个数据包

(6) dst port ! 22:不抓取目标端口是22的数据包

(7) src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24

(8) -W . /target.cap :保存成cap文件,方便用ethereal (即wireshark)分析

爬上太阳摘月亮
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptables防火墙之SNAT、DNAT策略及应用
weixin_62466637的博客
01-03 886
目录 一、SNAT原理应用 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 实现方法 1.4.1 编写SNAT转换规则 1.4.2路由转发开启方式 SNAT转换 二、DNAT策略概述 2.1 DNAT策略的典型应用环境 2.2 DNAT策略的原理 2.3 DNAT策略的应用 2.4 实现方法 编写DNAT转换的规则 三、防火墙规则的备份和还原 3.1 导出(备份)所有表的规则 3.2 导入(还原)规则 一、SNAT原理应用 ..
iptables防火墙之SNAT与DNAT
最新发布
gfbcdgbb的博客
03-19 569
局域网主机共享单个公网IP地址接入Internet。
iptables
bie961208的博客
12-06 300
yum search iptables yum install iptables-services.x86_64 -y systemctl stop firewalld.service    ##停止火墙 systemctl mask firewalld.service    ##冻结火墙 一、相关概念 Iptables 利 用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据
iptables nat
macob的专栏
08-06 444
iptables nat
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
使用SNAT、DNAT策略实现网关应用
09-08
打开密码 www.clvn.com.cn
10.6: iptables防火墙 、 filter表控制 、 扩展匹配 、 nat表典型应用 、 总结和答疑.docx
03-05
nat 表典型应用包括 SNAT(源网络地址转换)、DNAT(目的网络地址转换)、MASQUERADE(地址伪装)等。nat 表典型应用可以实现对网络流量的控制和转换。 五、总结和答疑 通过本节课程的学习,学生将掌握 iptables ...
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 482
snat与dnat一、SNAT1.1 原理应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充二、DNAT2.1 原理应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份表的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
[计算机网络]十三、配置iptables防火墙(SNAT和DNAT的策略及应用、使用layer7应用层过滤功能)
m0_48638643的博客
04-09 1944
1、iptables和firewalld iptables是之前centos6用的防火墙规则命令,而firewalld是centos7和8使用的命令。当然在centos7和8中这两个规则命令都能够使用。firewalld底层调用的命令仍是iptables
使用iptables进行NAT转发
热门推荐
boyemachao的专栏
07-01 1万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
iptables nat 原理(SNAT和DNATNAT之二)
bingyu的博客
05-09 3070
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains): PREROUTING:目的DNAT规则 把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。 因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT; 系统先PREROUTING DNAT翻译——>再过滤(FORWARD)——&...
iptables防火墙(二)-SNAT和DNAT原理应用
Another_Feng的博客
03-19 653
@TOC SNAT原理应用: SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理 修改数据包的源地址。 SNAT转换 SNAT转换前提条件: 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 永久打开: vim /etc
Linux系统之iptables应用SNAT与DNAT
ZHUZIH6的博客
02-19 1862
SNAT与DNAT原理应用,详细实验过程;对比SNAT与DNAT区别;介绍iptables规则的备份与还原以及使用tcpdump抓包
iptables之SNAT与DNAT
稻香的博客
06-05 848
目录一. SNAT策略及应用1. SNAT1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2. 开启SNAT命令2.1 临时开启2.2 永久开启2.3 SNAT转换12.4 SNAT转换23. SNAT案例二. DNAT原理应用1. DNAT1.1. DNAT 应用环境1.2 DNAT原理1.3 DNAT转换前提条件2. 开启DNAT命令3. DNAT转换4. 临时修改目标端口5. DNAT案例5.1 修改win10网络配置5.2 修改主机2的网卡并重启5.3 修改主机2的
【学习笔记】SNAT & DNAT
知寒
05-13 1302
SNAT & DNAT 在计算机网络中,数据包如何发送是根据目标IP进行路由的。如果同一个网络中出现两个相同的IP,则ARP表会出现混乱,数据包发送到哪台主机上将变成不确定性,那怎么解决这个问题?答案很明显,就是让数据包从路由器发出去的时候变成不同的IP地址不就可以了。这个技术叫源地址转换技术,我们称之为SNAT。 为了简化模型,我们还是先假设路由器的WAN口接
ensp防火墙snat和dnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNAT和DNAT配置示例: SNAT配置: 1. 将内部IP地址192.168...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值