iptables nat表实践

最新推荐文章于 2024-07-13 23:08:27 发布
最新推荐文章于 2024-07-13 23:08:27 发布
阅读量3.9k 收藏 6
点赞数 2
分类专栏: iptables 文章标签: iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wfs1994/article/details/89054230
版权

1:用于做企业路由(zebra)或网关(iptables),共享上网(POSTROUTING)
2:做内部外部IP地址一对一映射(dmz),硬件防火墙映射IP到内部服务器,ftp服务器(PREROUTING)
3:web,单个端口映射,直接映射80端口(PREROUTING)

nat表: 负责网络地址转换,即来源与目的IP地址和port的转换。与主机本身无关,一般用于局域网共享上网或者特殊的端口转换服务相关。nat表定义了三个链(chains),nat功能就相当于网络的acl控制,和网络交换机acl类似

  • OUTPUT:和主机发出去的数据包有关,改变主机发出数据包的目标地址
  • PREROUTING:在数据包到达防火墙时进行路由判断之前执行的规则,作用是改变数据包的目的地址、目的端口等
  • POSTROUTING:在数据包离开防火墙时进行路由判断之后执行的规则,作用是改变数据包的源地址、源端口等 生产应用:局域网共享上网

nat表规则配置:

分类功能作用链参数
SNAT源地址转换出口POSTROUTING--to-source
DNAT目标地址转换进口PREROUTING--to-destination

iptables实践场景

场景一: SNAT,局域网内部机器10.10.177.233访问外网Web Server 10.10.188.173,需要在 Nat Server上做源地址转换(局域网共享上网)
在这里插入图片描述
配置:

开启内核转发:net.ipv4.ip_forward = 1
iptables -t nat -A POSTROUTING -s 10.10.177.0/24 -j SNAT --to-source 10.10.188.232

场景二: DNAT,外部机器10.10.188.173访问内网Http Server 10.10.177.233,需要在 Nat Server上做目标地址转换(端口映射)
在这里插入图片描述
配置:

iptables -t nat -A PREROUTING -d 10.10.188.232 -p tcp --dport 80  -j DNAT --to-destination 10.10.177.233:80

部署企业级IDC机房上网网关

在这里插入图片描述
服务器网关需要具备如下条件:
1、物理条件是具备双网卡,建议eth0外网地址(这里是10.0.0.19,gw10.0.0.254),eth1内网地址(192.168.1.19,内网卡不配gw)
2、内核文件/etc/sysctl.conf里开启转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward(临时)
net.ipv4.ip_forward = 1
sysctl -p

3、iptables的filter表的FORWARD链允许转发

iptables -P FORWARD ACCEPT

4、最好先停掉防火墙
5、加载iptables内核模块
配置网关需要iptables的nat表,PREROUTING,POSTROUTING

modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

6、局域网内机器默认网关设置为eth1内网卡的IP(192.168.1.19)

配置:(网关服务器上配置)
1)适合有固定外网地址的:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 10.0.0.19

2)适合变化的外网地址(ADSL)

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

把外部IP地址及端口映射到内部服务器地址及端口配置如下:

iptables -t nat -A PREROUTING -d 10.0.0.19 -p tcp --dport 80  -j DNAT --to-destination 192.168.1.20:8080
wfs1994
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IPtables之四:NAT原理和配置
weixin_34250709的博客
07-26 543
NAT一般情况下分为SNAT,DNAT和PNAT 此篇主要讲述的是使用iptables配置NAT,所以这3种NAT的区别和应用场景就简单的说明一下 SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT项,当数据返回时,根据NAT将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情...
iptablesNAT
独孤柯灵的博客
11-24 7419
iptablesNAT
iptables nat 应用
weixin_34007020的博客
04-08 137
1、iptables nat 应用 上图的操作,说白了就是要做一个路由器,路由器可以上网,电脑就可以上网。先操作一下前期准备,打开虚拟机,将两个Linux窗口打开,然后分别拍一张快照,命名为“iptables 小实验前”。此举是方便实验过程出现不可挽回的错误,可以通过快照恢复,然后重新做实验。lyslinux-02 是之前克隆的虚拟机。右击上图红色框框 “编辑虚拟机设置” 的位置 ,跳出弹框,...
server nat和会话的作用及NAT地址转换详细
最新发布
代码其实很简单
07-13 1088
防火墙中数据包的转发过程NAT分类: NAPT的三元组使用场合 (动态NAT可以选择具体的服务,只是动态nat端口号不会进行转变) p to p模式 安全策略的源和目标永远都不是在同一个区域的 因此到底是安全策略先放行还是NAT策略先转换还是要看情况,但是必须要做到的是安全策略在匹配时,匹配的源和目标永远不是在同一个区域的 但是路由匹配这方面:肯定是先进行NAT地址转换再进行路由匹配 动态nat;空接口和路由匹配是一样的规则;
iptables 详解(NAT)
changexhao的专栏
10-24 5979
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables防火墙-NAT
m0_51586984的博客
03-20 1194
防火墙iptables-NAT、firewall、TCP_wrapper
iptables实现NAT
danssion的专栏
06-25 409
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> <div id="content" class= "content mod-cs-content text-content clearfix">1.概述 1.1
Iptables 防火墙实践
GwinselF
09-19 443
Iptables 防火墙实践 1.Iptables 基本介绍 1.1 防火墙的种类 从逻辑上讲,防火墙可以大体分为主机防火墙和网络防火墙. 主机防火墙 : 针对于单个主机进行防护,比如 windows 网络防火墙 : 往往处于网络入口,针对于网络入口进行防护,服务于防火墙背后的服务集群 从物理上讲,防火墙可以分为硬件防火墙和软件防火墙 硬件防火墙 : 在硬件级别实现部分防火墙功能,另一部分功能基于软件实现, 性能高. 成本高 软件防火墙 : 以软件的方式模拟防火墙功能,运行在操作系统上,性能不高,
iptables实践
夏至ゞ的博客
01-14 188
iptables,数据包流向;iptables命令适用实践
iptablesNAT:实现网络地址转换
# 1. 简介 在本章节中,我们将介绍iptablesNAT实现网络地址转换的基础知识。首先,我们会了解iptables的定义和作用,其次...### 2.1 iptables规则和 iptables规则由多个规则组成,每条规则包含匹配条件和对应的动
iptables 防火墙(一)| 四/五、数据包匹配流程、编写 iptables 规则
开源世界
06-23 1025
一名致力于在技术道路上的终身学习者、实践者、分享者,一位忙起来又偶尔偷懒的原创博主,一个偶尔无聊又偶尔幽默的少年。 一、Linux 防火墙基础 Linux防火墙主要工作在网络层,针对 TCP/IP 数据包实施过滤和限制,典型的包过滤防火墙,基于内核编码实现,具有非常稳定的性能和高效率。 iptables:用来管理 Linux 防火墙的命令程序,位于/sbin/iptables目录下,属于用户空间的防火墙管理体系。 netfilter:Linux 内核中实现包过滤防火墙的内部结构,一般不以程序或文件的形式存在
14. 深入理解iptablesNAT转发技术
# 1. iptables简介和基本概念 1.1 iptables是什么 iptables是Linux操作系统上用于管理和过滤网络数据包...在iptables中,NAT转发是一种网络地址转换技术,用于将内部网络的IP地址映射为外部网络的IP地址,实现内网主机
Linux之iptablesNAT)讲解篇
qq_62311779的博客
06-18 4672
这是本人为了记录笔记而搜集整理的!!!!目录SNAT的数据流向过程:MASQUERADE(地址伪装)SNAT与MASQUERADE的区别: MASQUERADE例子:DNAT(目标地址址转换):DNAT的数据流向过程:SNAT+DNAT注意事项:——查看NAT: ——查看iptables配置 SNAT(源地址转换):...
iptables NAT
weixin_37583747的博客
07-06 273
SNAT    iptables -t nat -A POSTROUTING -s 1.1.1.1 -j SNAT --to-source 2.2.2.2    查看结果:iptables -t nat -nvL    DNAT    iptables -t nat -I PREROUTING -p tcp --dport 8086 -j DNAT --to-destination 1.1.1.1...
iptables nat含义_iptablesNAT
weixin_39760389的博客
12-21 575
iptables是我们在实际生产环境中大量的使用的工具,它能对进出主机的数据进行过滤以及转发等等,我们在平时用的比较多的就是iptables的net和filter,在这里就简要的讲解下iptablesnat,来实现主机上的路由转发,如果对iptables还不是很了解的可以上网去搜索会有很多详细的资料。nat是对进出主机的ip或端口进行转发,在这里必须要知道的是在linux系统中ip地址并...
iptables-nat
wdirdo的博客
10-23 708
iptables-nat ★★★★★ 初识nat,工作中常用nat技术 NAT简介: ◆ NAT: network address translation 网络地址转换 内网地址想与公网地址进行通信时,可使用NAT方法。NAT方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外...
Linux之iptables(四、网络防火墙及NAT)
Phyllostachys
10-26 674
Linux之iptables(四、网络防火墙及NAT) 网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter的FORWARD 注意的问题: (1) 请求-响应报文均会经由FORWARD,要注意规则的方向性 (2) 如果要启用conntrack机制,建议将双方向的状态为ESTA...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值