Linux防火墙之SNAT与DNAT原理

最新推荐文章于 2023-11-30 17:09:09 发布
最新推荐文章于 2023-11-30 17:09:09 发布
阅读量408 收藏
点赞数
分类专栏: Linux网络 文章标签: linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55609833/article/details/117257180
版权

Linux防火墙之SNAT与DNAT原理

一、SNAT的原理及应用

SNAT应用环境域网:主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)

SNAT原理:修改数据包的源地址。

1.概述

  • 随着 Internet 网络在全世界范围内的快速发展,IPv4 协议支持的可用IP地址资源
    逐渐变少,资源匮乏使得许多企业难以申请更多的公网 IP 地址,或者只能承受一个或者少数几个公网 IP 地址的费用

  • 而与此同时,大部分企业面临着将局域网内的主机接入 Internet 的需求

  • 通过在网关中应用 SNAT 策略,可以解决局域网共享上网的问题

  • 下面假设一个小型的企业网络为例:Linux 网关服务器通过两块网卡 ens33、ens33:0 分别连接 Internet 和局域网

2.SNAT转换前提条件:

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2. Linux网关开启IP路由转发

临时打开:
echo 1 > /proc/sys/net/ipv4/ip_ forward
或
sysctl -W net. ipv4.ip_ forward=1.
永久打开:
vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1   	       #将此行写入配置文件
sysctl -P         				       #读取修改后的配置

3.设置SNAT转化

SNAT转换1:固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                    #内网IP       出站 外网网卡                      外网IP或地址池

SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -0 ens33 -j MASQUERADE

4.应用

  • SNAT 的典型应用是为局域网共享上网提供接入策略,处理数据包的切入时机是在路由选择之后(POSTROUTING)进行

  • 关键操作是将局域网外发数据包的源 IP 地址(私有地址)修改为网关服务器的外网接口 IP 地址(公有地址)

  • SNAT 策略只能用在 nat 表的 POSTROUTING 链,使用 iptables 命令编写 SNAT
    策略时,需要结合“–to-source IP地址”选项来指定修改后的源 IP 地址

5.共享动态IP地址上网

  • 在某些情况下,网关的外网 IP 地址可能并不是固定的,如使用 ADSL 宽带接入时那么在这种网络环境下,应该如何设置 SNAT 策略呢?
  • 针对这种需求,iptables 命令提供了一个名为 MASQUERADE(伪装)的数据包控制类型
    MASQUERADE 相当于 SNAT 的一个特例,同样用来修改(伪装)数据包源 IP 地址,只不过它能够自动获取外网接口的 IP 地址,而无须使用“–to-source”指定固定的 IP 地址
  • 参照上一个 SNAT 案例,若要使用 MASQUERADE 伪装策略,只需去掉 SNAT 策略中的“-to-source IP地址”,然后改用“-j MASQUERADE”指定数据包控制类型
iptables-t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j MASQUERADE

当然,如果网关使用固定的公网 IP 地址,最好选择 SNAT 策略而不是 MASQUERADE 策略,以减少不必要的系统开销

6.共享固定 IP 地址上网

6.1打开网关的路由转发

对于 Linux 服务器,IP 转发是实现路由功能的关键所在,对应为/proc 文件系统
中的 ip_forward 设置,当值为 1 时表示开启,为 0 时表示关闭
若要使用 Linux 主机作为网关设备,必然需要开启路由转发
例如,可以修改 sysctl.conf 配置文件,永久打开路由转发功能

vim /etc/sysctl.conf
...
net.ipv4.ip_forward =1 
#将此行写入配置文件,0改为1


sysctl -p                   #读取修改后的配置


#临时开启路由转发
echo 1> /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

6.2正确设置 SNAT 策略

通过分析得知,需要针对局域网 PC 访问 Internet 的数据包采取 SNAT 策略,将源地址更改为网关的公网IP地址,参考以下操作在网关中设置防火墙规则
若要保持
SNAT 策略长期有效,应将相关命令写入到 rc.local 配置文件,以便开机后自动设置

iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.126.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
                                    #内网IP       出站 外网网卡                      外网IP或地址池

6.3 测试 SNAT 共享接入结果

上述操作完成以后,使用局域网中的 PC 就可以正常访问 Internet 中的网站了
对于被访问的网站服务器来说,将会认为是网关主机在访问(可观察 Web日志获知),而并不知道实际上是企业内网的 PC 在访问

二、DNAT的原理及应用

DNAT应用环境:在Internet中 发布位于局域网内的服务器
DNAT原理:修改数据包的目的地址。

1.概述

DNAT 策略与 SNAT 非常相似,只不过应用方向相反
SNAT 用来修改源 IP 地址,而 DNAT 用来修改目标 IP 地址和目标端口
SNAT 只能用在 nat 表的 POSTROUTING 链中,而 DNAT 只能用在 nat 表的 PREROUTING 链和 OUTPUT链(或被其调用的链)中

下面以一个小型企业网络为例,考虑到应用的安全和稳定性,公司将对外的网站服务器架设在一个内部网络中,公司对外只有一个公网 IP 地址,又需要使 Internet 中的客户机能够访问公司的网站在 Internet 环境中,企业所注册的网站域名必须对应合法的公网 IP 地址,在这种情况下,Internet 中的客户机将无法访问公司内网的服务器,除非在网关服务器中正确设置 DNAT 策略使用 DNAT 策略的效果如下:当 Internet 中的客户机提交的 HTTP 请求到达企业的网关服务器时,网关首先判断数据包的目标地址和目标端口,若发现该数据包需要访问本机的 80 端口,则将其目标 IP 地址修改为内网中真正的网站服务器的 IP 地址,然后才发送给内部的网站服务在上述 DNAT 转换地址的过程,网关服务器会根据之前建立的 DNAT 映射,修改返回的 HTTP 应答数据包的源 IP 地址,最后再返回给 Internet 中的客户机Internet 中的客户机并不知道企业网站服务器的真实局域网地址,中间的转换完全由网关主机完成通过设置恰当的 DNAT 策略,企业内部的服务器就可以面向Internet 提供服务了

2.DNAT转换前提条件

1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录

3.Linux网关开启IP路由转发

Vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1

三、规则的导出与导入(即备份与恢复)

规则的备份及还原
防火墙规则的批量备份、还原用到两个命令,即 iptables-save 和 iptables-restore
分别用来保存(Save)和恢复(Restore)

1.iptables-save 命令

iptables-save 命令用来批量导出 Linux 防火墙规则
直接执行 iptables-save save 命令时,将显示出当前启用的所有规则
在 iptables-save 命令的输出信息中,以“#”号开头的内容表示注释,“*表名”表示所在的表,”:链名 默认策略”表示相应的链及默认策略,具体的规则部分省略了命令名“iptables”,后面的“COMMIT”表示提交前面的规则设置
由于 iptables-save 命令只是把规则内容输出到屏幕上,因此当需要保存为固定的文件时,还应该结合重定向输出的操作以完成备份
例如,若要将当前已设置的所有防火墙规则备份为opt/ipt.txt 文件,可以执行以下操作

iptables-save > /opt/ipt.txt
#备份所有表的规则

2.iptables-restore 命令

iptables-restore 命令用来批量导入 Linux 防火墙规则,如果已经使用 iptables-save 命令导出备份文件,则恢复规则的过程在一瞬间就能完成
与 iptables–save 命令相对的 iptables-restore 命令也应结合重定向输入来指定备份文件的位置

iptables-restore < /opt/ipt.txt
#从备份文件恢复规则

3.使用 iptables 服务

通过名为 iptables 的系统服务,可以快速启用、清空防火墙规则
iptables 服务使用的规则文件位于 /etc/sysconfig/iptables 文件中,配置格式与 iptables-save 命令输出的一致

3.1自动启用防火墙规则

在服务器中调试好各种 iptables 规则以后,使用 iptables-save 备份为默认的规则配置文件 etc/sysconfig/iptables,然后就可以通过 iptables 服务来调用
例如,执行以下操作将保存当前的防火墙规则,并设置在每次开机后根据已保存的规则内容自动进行重建

iptables-save > /etc/sysconfig/iptables

3.2清空所有防火墙规则

在调试各种防火墙规则的过程中,为了排除其他规则的干扰,有时候需要清空某些表的规则
当需要一次清空所有表的规则时,停用 iptables 服务是最快捷的方法,也是最彻底的方法

systemctl stop iptables   
#停止iptables服务会清空掉所有表的规则

systemctl start iptables  
#启动iptables服务会自动还原/etc/sysconfig/iptables中的规则
苦兰若芷
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》
06-01
Iptables之SNA与DNAT(三)《博雅运维Linux全套笔记》,如何配置snatdnat,等等
Linux防火墙SNATDNAT
夏颜的博客
05-11 507
文章目录一.SNAT1.1SNAT工作原理1.2SNAT转换流程二.DNAT2.1DNAT工作原理2.2DNAT转换流程 引言: iptables有四个表,其中比较重要的有filter表,与nat表,本文着重讲解nat表的地址转换 一.SNAT 1.1SNAT工作原理 SNAT应用环境:局域网主机共享单个公网IP地址接入Internet (私有 IP不能在Internet中正常路由) SNAT原理:源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射 SNAT转换前提条件: 1.局域网各主机已正
Linux——SNATDNAT的应用
cxin1225的博客
05-23 611
DNAT 的全称为Destination Network Address Translation目的地址转换,常用于防火墙DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问DNAT 应用环境:在Internet中发布位于局域网内的服务器。
LinuxDNAT策略及应用与tcpdump抓包
欲买桂花同载酒
05-20 951
LinuxDNAT策略及应用与tcpdump抓包,包含步骤详细图文介绍,以及基础介绍讲解
linux防火墙】设置开启路由转发,SNATDNAT转换原理及应用实操,添加自定义链归类iptables规则
最新发布
liu_xueyin的博客
11-30 716
#指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链中,作用到源ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略。
linux防火墙——DNAT配置
m0_65544268的博客
07-12 501
用于设置目标地址转换(Destination NAT)规则的命令。DNAT 是一种网络地址转换技术,它允许将一个网络数据包的目标 IP 地址更改为另一个 IP 地址。简单来说,就是修改数据包中的目的IP地址。
Linux:iptables防火墙(SNATDNAT
2301_76875445的博客
05-21 997
Linux:iptables防火墙SNATDNAT)
VMware之SNATDNAT.docx
01-03
VMware之SNATDNAT
Linux防火墙配置SNAT教程(1)
09-15
主要为大家详细介绍了Linux防火墙配置SNAT教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Linux防火墙配置SNAT教程(2)
09-15
主要为大家详细介绍了Linux防火墙配置SNAT教程第二篇,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Linux系统安全——NAT(SNATDNAT
x74188的博客
08-20 1356
destination NAT 支持PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改目标IP。:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改源IP。MASQUERADE:基于nat表的target,适用于动态的公网IP,如:拨号网络。保留SNAT实际操作中的 1),2),3),4),5),8)
Linux网络——shell编程之SNATDNAT的应用
weixin_67300995的博客
05-22 509
SNATSNAT)一般指源地址转换源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)SNAT原理:修改数据包的源地址。SNAT转换前提条件。
LINUX_DNAT概述_实验配置
weixin_44393420的博客
10-20 1709
一.DNAT概述 1.DNAT 的全称为Destination Network Address Translation目的地址转换,常用于防火墙中。 目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。RFC1918中的地址保留可以用地址重叠的方式来达到。当一个内部主机第一次放出的数据包通过防火墙时,动态NAT的实现方式与静态NAT相同,然后这次NAT就以表的形式保留在防火墙中。 2.DNAT策略的典型应用环境 在Internet中发布位于企
Linux防火墙实现SNATDNAT
悦分享
07-21 757
vi /etc/sysctl.conf 将 net.ipv4.ip_forward=0 修改成 net.ipv4.ip_forward=1。编辑后使用命令让配置马上生效 sysctl -p。开启目标服务器/中转服务器端口**(本例仅限于http服务) python -m SimpleHTTPServer 1024。查询端口**状态 netstat -tupln。
SNATDNAT原理应用
renjian21的博客
07-15 305
SNATDNAT原理应用 一、 SNAT原理的应用 1.1 原因环境和原理 SNAT 应用环境∶局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由) SNAT原理∶修改数据包的源地址。 SNAT转换前提条件∶ 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 1.2 开启SNAT的命令 1.临时打开∶ echo 1 >/proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.
Linux防火墙规则和SNAT实验和DNAT实验
生夏夏的博客
03-07 431
Linux防火墙功能是由内核实现的,在2.4版及以后的内核中,包过滤机制是netfilter,管理工具是iptables。netfilter是Linux内核中的包过滤防火墙功能体系,称为Linux防火墙的内核态。iptables是用来管理防火强墙的命令工具,为防火墙体系提供过滤规则,决定如何过滤或处理到达防火墙主机的数据包,称为Linux防火墙的用户态。
Linux防火墙iptables之SNATDNAT
sukapulai的博客
04-24 2785
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
(九)洞悉linux下的Netfilter&iptables:网络地址转换原理DNAT
01-23 1042
网络地址转换:NAT      Netfitler为NAT在内核中维护了一张名为nat的表,用来处理所有和地址映射相关的操作。诸如filter、nat、mangle抑或raw这些在用户空间所认为的“表”的概念,在内核中有的是以模块的形式存在,如filter;有的是以子系统方式存在的,如nat,但它们都具有“表”的性质。因此,内核在处理它们时有很大一部操作都是相同的,例如表的初始化数据、表的注册、
ensp防火墙snatdnat配置
05-20
SNAT(源地址转换)和DNAT(目的地址转换)是防火墙中常见的功能。它们用于在防火墙上对网络流量进行地址转换,以实现特定的网络需求。 下面是一些简单的SNATDNAT配置示例: SNAT配置: 1. 将内部IP地址192.168...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值