NAT、用iptables配置NAT

最新推荐文章于 2024-07-07 23:45:32 发布
最新推荐文章于 2024-07-07 23:45:32 发布
阅读量8.7k 收藏 9
点赞数
文章标签: iptables NAT 防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/windeal3203/article/details/51111543
版权

NAT 简介

NAT: 网络地址转换(Network Address Translation)
NAT技术出现之初是为了应对IPv4地址耗尽的问题(IPv4仅有2^32≈43亿个地址)。下文会介绍NAT如何解决该问题。

IPv4地址根据网络为所占的比特位数分为几大类(这里就不多介绍了) ,但保留了一些地址段不向特定的用户分配。其中有三段地址被用作私有地址。
私有地址: 不需要想IANA提出申请,只能用于本地(局域网)地址,不能作为全球路由地址使用。
10.0.0.0 ~10.255.255.255,
172.16.0.0~172.31.255.255,
192.168.0.0~192.168.255.255

私有地址可以在任何组织或企业内部使用(局域网)。

由于私有地址的作用于只在本地局域网,对于全球网络来说,私有地址便是可以复用的。也正式私有地址的可复用性避免了IPv4地址耗尽的问题。
私有地址可复用的,但作用域仅在本地,那使用私有地址的设备如何与公网上的网络设备进行通信呢,这就是NAT的范畴了。

SNAT 和 DNAT

NAT有两大类:
+ SNAT:源网络地址转换。发送报文时将源IP和源port进行转换。主要用于内网访问外网服务。在POSTROUTING链上实现。
+ DNAT:目的网络地址转换。接收报文时目的IP和目的Port发生变化。主要用于外网想内网发送数据。在PREROUTING链上实现。

局域网与公网的通信模型

Created with Raphaël 2.1.0 Client Client Gateway Gateway Server Server Src=192.168.1.2:5050 Dst=33.0.0.103:6060 经过SNAT转换,Src和Src_port变化 Src=27.0.0.100:8080 Dst=33.0.0.103:6060 Src=33.0.0.103:6060 Dst=27.0.0.100:8080 DNAT转换 Src=33.0.0.103:6060 Dst=192.168.1.2:5050

SNAT

  网络服务一般采用CS模型,Client先想Server发送报文,由于Server在公网上,有全球唯一的IP,因此Client很容易确定Server的位置。然而,由于Client使用私有IP,不是全球唯一的,因而Server无法识别Client的位置。为此,Client所在局域网的网关在转发报文时,在进行报文转发时,将源IP地址(原本为Client的地址)转换为自己的IP地址,并修改Port以区分同一局域网的不同主机上的不同PC。Server在接收到报文时,根据源IP(Client网关的IP),可以确定Client所在的局域网。

DNAT

  Server在接收到经过SNAT的报文时,根据源IP定位到Client所在局域网网关,以所接收报文的源IP为目的地址,将回复报文发送给Client所在局域网网关。该网关接收到报文后,根据端口号发现报文是发给本局域网中的Client主机的,因此修改目的IP和目的Port, 把报文转发给Client上的进程。这便是DNAT的过程。

用iptables配置SNAT

语法:iptables -t nat -A POSTROUTING -s src_ip -o interface_output -j SNAT --to-source ip[-ip]:[port-port]
例子:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 202.100.1.1

用iptables配置DNAT

语法:iptables -t nat -A PREROUTING -s dst_ip -o interface_input -j DNAT --to-destination ip[-ip]:[port-port]
例子:iptables -t nat -A PREROUTING -s 202.100.1.1 -o eth0 -j SNAT --to-destination 192.168.1.0/24

轮子学长
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
iptables的代码实现nat
03-21
使用iptables进行设置的基本命令,配置正确的iptables命令
iptablesNAT配置
weixin_33971130的博客
03-19 256
iptablesNAT配置1.环境介绍:克隆虚拟机,命名为网关并添加网卡(第一块eth0外网桥接,第二块eth1内网host-only),克隆虚拟机并命名为内网主机网卡为host-only。2.网关上配置NAT:1)配置网关的ip地址:[root@localhost ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0DEVIC...
iptables配置实现NAT
最新发布
Tassel_YUE的博客
07-07 422
iptables -t nat -A POSTROUTING -s 内网网段 -j MASQUERADE。若公网ip不固定,也可使用。
Static NAT with iptables on Linux
互联网
10-13 112
本文的名字取的比较有意义,因为本文并不是真的要讨论如何在Linux上使用iptables实现static nat!之所以这么命名本文,是想引起别人的注意,因为中文资料,以及国内的搜索引擎,基本上没有人关注这个问题,也几乎没有什么人讨论这个问题,而我却由于项目原因以及平时的折腾,切身体会到了Linux的NAT实现的缺陷。如果你使用google,你会看到大量的国外的技术宅男宅女们在讨论这个问题,虽然也...
iptables实现NAT
xiaochenwj1995的博客
09-08 2808
NAT: network address translation PREROUTING,INPUT,OUTPUT,POSTROUTING 请求报文:修改源/目标IP,由定义如何修改 响应报文:修改源/目标IP,根据跟踪机制自动实现 SNAT:source NAT POSTROUTING, INPUT 让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装 请求报文:修改源IP DNAT:...
iptables配置NAT策略
focus on security
12-10 674
iptables配置nat策略: iptables -t nat -A POSTROUTING -s 172.168.1.0/24 -o eth1 -j SNAT --to-source 10.56.78.90 查看策略是否生效: iptables -t nat -nvl iptables -nvl
iptables的使用说明 配置nat功能
03-06
配置nat功能,软件实现ip伪装,使用iptables的说明,ubuntu下,嵌入式linux下。
iptablesnat配置与管理
12-29
iptablesnat配置与管理,对于iptables配置与管理都有一定的基础。
Linux下使用Iptables配置NAT防火墙
06-19
Linux下使用Iptables配置NAT防火墙分析防火墙技术原理和防火墙类别,结合校园网实际设计使用Linux下的Iptables 防火墙NAT 方案,能够实现NAT和对网络进行用户管理和信息过滤,并能防范一定的网络攻击手段和防病毒...
linux网络NAT配置方式详解
09-15
NAT模式下,虚拟机的网络配置通常是这样的:虚拟机使用私有IP地址,这些IP地址不能直接从外部网络访问。虚拟机的网络流量通过主机上的NAT服务转发到外部网络,同时主机IP地址被用作源IP。主机和虚拟机之间的通信...
iptables实现NAT
biaoming
12-24 141
摘要   本文是“用iptales实现包过虑型防火墙”的姊妹篇,主要介绍如何使用iptbales实现linux2.4下的强大的NAT功能。关于iptables的详细语法请参考“用iptales实现包过虑型防火墙”一文。需要申明的是,本文绝对不是NAT-HOWTO的简单重复或是中文版,在整个的叙述过程中,作者都在试图用自己的语言来表达自己的理解,自己的思想。(2002-06-24 14:30:...
linux下设置iptables实现NAT功能
04-14
linux下设置iptables实现NAT功能
使用iptables配置目的NAT
Summer的专栏
01-14 5038
使用iptables配置目的NAT 目的NAT改变的是数据包的目的IP地址,当来自Internet的数据包访问NAT服务器网络接口的公网IP时,NAT服务器会把这些数据包的目 的地址转换为某一对应的内网IP,再路由给内网计算机。这样,使用内网IP地址的服务器也可以为Internet上的计算机提供网络服务了。 如图9-11所示,位于子网10.10.1.0/24的是普通的客户机,它们使用源
iptables配置NAT
jieranjieran的博客
11-02 474
RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255 B 类:172.16.0.0~172.31.255.255 C 类:192.168.0.0~192.168.255.255 上述三个范围内的地址不会在因特网上被分配,局域网内部一般使用上述网段的私有地址,不要配公有地址,如果私有网络和公有网络分配了相同的ip地址,这种情况称
iptables nat及端口映射
没有艰辛,便无所获
09-27 327
转载:http://blog.chinaunix.net/u2/66903/showart_1802022.html   iptables 应用初探(nat+三层访问控制)          iptables是 一个Linux下优秀的nat+防火墙工具,我使用该工具以较低配置的传统pc配置了一个灵活强劲的防火墙+nat系统,小有心得,看了网上也有很多这方 面的文章,但是似乎要...
无线路由器——NAT设置
机器视觉之家
09-27 8319
我以JCG JHR-N926R这款无线路由器为例跟大家分享分享NAT设置。通常情况下,路由器都有防火墙功能,互联网用户只能访问到你的路由器WAN口(接ADSL线口),而访问不到内部服务器。要想让外面用户访问到局域网内的服务器,那么你就要在路由器上做一个转发设置,也就是端口映射设置,让用户的请求到了路由器后,并能够到达游戏服务器或WEB服务器。这就是端口映射/端口转发。有时也称为虚拟服务。下面有三种
NAT服务器上巧用iptablesiptables技巧实例
weixin_34253126的博客
12-24 122
NAT服务器上巧用iptablesiptables技巧实例: 作为nat服务器,必须制定一些规则来控制客户机上网的行为,下面我介绍一些常用的实例。需注意的是,为了能保证新加如的规则有效,而不受原有规则的影响,这里都是使用-I命令在第1条规则前插入。切勿使用-A命令,否则会因iptable以编号靠前的规则为准,而覆盖了后加人的新规则。 一、禁止客户机访问不健康网站...
NAT配置
2301_78833225的博客
07-02 620
动态NAT:将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190(网段对网段)静态NAT:将内部网络地址192.168.100.2-192.168.100.6转换为合法的外部地址61.159.62.130-61.159.62.134(一对一转化)第三步: 在内部本地和内部合法地址之间建立静态地址转换。第四步:在内部和外部端口上启用NAT。第六步:在内部和外部端口上启用NAT。5、在内部和外部端口上启用NAT
iptables配置NAT访问外网
10-20
iptables是一个Linux内核中的网络包过滤工具,可以用于配置网络地址转换(NAT)以访问外网。其中,源NAT(SNAT)是一种将源IP地址更改为另一个IP地址的NAT形式。下面是配置iptables进行SNAT以访问外网的步骤: 1. 打开IP转发功能:echo"net.ipv4.ip_forward=1">>/etc/sysctl.conf 2. 重启sysctl服务:sysctl -p 3. 配置iptablesiptables -t nat -A POSTROUTING -s 192.168.1.11/32 -j SNAT --to-source 192.168.43.35 其中,-t指定表,-A指定动作,-s指定源地址,-j指定动作,--to-source指定目标地址。 这样,所有来自192.168.1.11的数据包都会被更改为192.168.43.35的IP地址,从而可以访问外网。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值