SNAT / DNAT 自定义链

已于 2023-11-30 21:03:46 修改
阅读量119 收藏 1
点赞数
文章标签: 网络 服务器 linux
于 2023-11-30 21:02:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxaly/article/details/134721703
版权

目录

linux 系统本身是没有转发功能,只有路由发送数据

NAT

NAT的实现分为两类

SNAT

SNAT 应用环境

SNAT 原理

SNAT 转换前提条件

例图参考

开启 SNAT 命令

临时开启

永久开启

修改 iptables 网卡

DNAT

DNAT 应用环境

DNAT 原理

DNAT 转换前提条件

例图参考

DNAT 转换1: 发布内网的 Web服务

DNAT 转换2: 发布时修改目标端口

在内网上配置

在网关服务器添加 iptables 规则

测试外网是否能访问内网

linux 系统本身是没有转发功能,只有路由发送数据

NAT

—— PREROUTING

路由判断前

—— INPUT

进入本机的流量

—— OUTPUT

出本机的流量

—— POSTROUTING

路由判断后

NAT的实现分为两类

—— SNAT:source NAT ,支持 POSTROUTING , INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改 源IP ;让内网可以访问外网

—— DNAT:destination NAT ,支持 PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改 目标IP ;让外网可以访问到内网的机器

SNAT

SNAT 应用环境

局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由

SNAT 原理

源地址转换

修改数据包的源地址

SNAT 转换前提条件

局域网各主机已正确设置IP地址、子网掩码、默认网关地址

Linux网关开启IP路由转发

例图参考

开启 SNAT 命令
临时开启
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -W net.ipv4.ip_forward=1

永久开启
[root@localhost network-scripts]# sysctl -a|grep "ip_forward"
sysctl: reading key "net.ipv6.conf.all.stable_secret"
sysctl: reading key "net.ipv6.conf.default.stable_secret"
sysctl: reading key "net.ipv6.conf.ens32.stable_secret"
sysctl: reading key "net.ipv6.conf.ens33.stable_secret"
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
sysctl: reading key "net.ipv6.conf.virbr0.stable_secret"
sysctl: reading key "net.ipv6.conf.virbr0-nic.stable_secret"
net.ipv4.ip_forward = 0
net.ipv4.ip_forward_use_pmtu = 0
​
vim /etc/ sysctl. conf 
#打开配置文件
net. ipv4.ip_ forward = 1               
#将此行写入配置文件任意空行之中
​
sysctl -P
#读取修改后的配置

修改 iptables 网卡
SNAT 转换1:固定的公网ip地址
​
iptables -t nat -A POSTROUTING  -s  12.0.0.0/24  -o ens33 -j SNAT --to 192.168.91.101
#交给网关
​
iptables -t nat -A POSTROUTING -s  12.0.0.0/24 -o ens37 -j SNAT --to 192.168.91.101~192.168.91.103
#内网地址     出站网卡       外网ip或地址池
​
​
SNAT 转换2:非固定的公网ip地址
​
iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -d 192.168.100.0/24 -j MASQUERADE
​
iptables -t nat -A POSTROUTING -s  192.168.100.0/24 -o ens37 -j MASQUERADE
​
​

DNAT

DNAT 应用环境

在Internet中发布位于局域网内的服务器

DNAT 原理

修改数据包的目的地址

DNAT 转换前提条件

  1. 局域网的服务器能够访问Internet

  2. 网关的外网地址有正确的DNS解析记录

  3. Linux网关开启IP路由转发

vim /etc/ sysctl. conf 
#打开配置文件
net. ipv4.ip_ forward = 1               
#将此行写入配置文件任意空行之中
​
sysctl -P
#读取修改后的配置

例图参考

DNAT 转换1: 发布内网的 Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.100.102
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.100.102
​
​
#或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.100.102
                             #入站|外网网卡 | 外网ip                            内网服务器ip

DNAT 转换2: 发布时修改目标端口
#发布局域网内部的OpenSSH服务器, 外网主机需使用250端口进行连接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250-jDNAT --to 192.168.100.102:22

在内网上配置
#在内网上安装 httpd并开启服务
[root@localhost yum.repos.d]# yum install -y httpd
[root@localhost yum.repos.d]# systemctl start httpd
 
#关闭防火墙和安全终端
[root@localhost yum.repos.d]# systemctl stop firewalld.service 
[root@localhost yum.repos.d]# setenforce 0

在网关服务器添加 iptables 规则
#先清空规则
[root@localhost yum.repos.d]#iptables -F -t nat
​
#添加规则
[root@localhost yum.repos.d]#iptables -t nat -A PREROUTING -i ens38 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.102
 
#查看规则
[root@localhost yum.repos.d]#iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            12.0.0.1             tcp dpt:80 to:192.168.100.102
 
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination    
​

测试外网是否能访问内网
#在外网服务器上
[root@localhost ~]# curl 12.0.0.1
​
#在内网服务器上
[root@localhost yum.repos.d]# tail /etc/httpd/logs/access_log 
127.0.0.1 - - [02/Nov/2021:18:05:31 +0800] "GET / HTTP/1.1" 403 4897 "-" "curl/7.29.0"
​

ikun is man
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux防火墙实现SNAT与DNAT
悦分享
07-21 770
vi /etc/sysctl.conf 将 net.ipv4.ip_forward=0 修改成 net.ipv4.ip_forward=1。编辑后使用命令让配置马上生效 sysctl -p。开启目标服务器/中转服务器端口**(本例仅限于http服务) python -m SimpleHTTPServer 1024。查询端口**状态 netstat -tupln。
VMware之SNAT与DNAT.docx
01-03
VMware之SNAT与DNAT
自定义 SNAT / DNAT 实验举例
WXALY的博客
11-30 322
1. 准备三台虚拟机,定义为内网,外网以及网卡服务器2. 给网卡服务器添加网卡3. 将三台虚拟机的防火墙和安全终端全部关掉4. 给内网虚拟机和外网虚拟机 yum安装 httpd服务,并开启服务#安装服务 httpd#开启服务5. 配置网卡服务器的网卡6. 修改网卡7. 重启网卡服务8. 查找 net.ipv4.ip_forward = 09. 进入配置文件,并进行配置10. 检测11. 进入内网虚拟机,配置网卡服务12. 重启网卡服务13. 进入外网虚拟机,配置网卡服务。
iptables总结--理解四表五/snat/dnat/redirect/synproxy/性能
网络安全研究
11-04 3304
1. iptables四表五 四表五就是位置:共有五个 进路由(PREROUTING)、进系统(INPUT) 、转发(FORWARD)、出系统(OUTPUT)、出路由(POSTROUTING); 表就是存储的规则;数据包到了该处,会去对应表中查询设置的规则,然后决定是否放行、丢弃、转发还是修改等等操作。 1.1 四表 filter表——过滤数据包 Nat表——用于网络地址转换(IP、端口) Mangle表——修改数据包的服务类型、TTL、并且可以配置路由实现QOS Raw表——决定数据包是否
SNAT&DNAT策略
白雪滑落树梢
10-02 2344
文章目录前言一总结 前言 一 总结
iptables 防火墙(二)- SNAT / DNAT 策略及应用 |(附体系思维导图)
JackTian
10-11 910
点击上方“杰哥的IT之旅”,选择“设为星标”干货、福利第一时间送达!SNAT 策略概述SNAT全称为:Source Network Address Translation...
SNAT和DNAT策略
陌上花开,静待绽放!
05-21 696
不要把别人的好,视为理所当然,如果有机会,你应该付出你的好。
SNAT和DNAT的实现
weixin_50606361的博客
07-30 315
它指定了源地址转换(SNAT)规则,将源IP地址为192.168.50.0/24子网的数据包通过网络接口ens36进行转发,并将源IP地址转换为192.168.2.99。这个命令的作用是将目标IP地址为192.168.255.99、进入网络接口为ens36、目标端口为8000的TCP数据包的目标地址转换为192.168.50.1。这个命令用于清除所有已存在的iptables NAT网络地址转换)规则,以确保从一个干净的状态开始配置新的规则。指定了目标IP地址为192.168.255.99的数据包。
iptables之SNAT与DNAT
qq_45088125的博客
05-17 3063
文章目录一、SNAT策略及应用1、SNAT策略概述1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2、开启SNAT命令3、SNAT案例 一、SNAT策略及应用 1、SNAT策略概述 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发
SNAT与DNAT
gcc001224的博客
05-12 463
文章目录引言一、SNAT原理及应用1.SNAT应用环境2.SNAT原理3.SNAT转换前提条件2.SNAT案例二、DNAT原理与应用1.DNAT 应用环境2.DNAT原理3.DNAT转换前提条件4.DNT案例 引言 今天 我们来教教大家snat和dnat的原理和实验过程 一、SNAT原理及应用 1.SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 2.SNAT原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射 3.SNAT
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
IPTABLES、SNAT、DNAT网关策略
05-31
关于拿linux系统当路由器做NAT用的。
iptables的SNAT和DNAT地址转换配置.pdf
07-11
iptables的SNAT和DNAT地址转换配置.pdf 学习资料 复习资料 教学资源
netfilter 五个钩子点实现SNAT和DNAT的方案
08-02
netfilter_queue的安装包所需依赖包,先安装libmnl然后libnfnetlink最后netqueue。在钩子点可以通过return NF_QUEUE对所需数据包进行地址转换
TPM 是什么?如何查看电脑的 TPM?
qq_57728300的博客
06-03 1262
或许还有人不知道什么是 TPM,本文带大家了解 TPM 是什么以及如何查看电脑的 TPM。
网络编程(一)
xuezhe_____的博客
06-03 803
网络的分层模型和每层所使用的协议的集合。
Ruoyi-Vue-Plus 下载启动后菜单无法点击展开,
06-07 72
1.框架下载后运行2.使用mock数据3.进入页面后无法点击菜单本以为是动态路由或者菜单逻辑出了问题,最后发现是websocket的问题。
HTTP协议分析实验:通过一次下载任务抓包分析
最新发布
qq_39241682的博客
06-07 490
本实验主要讲解HTTP协议的应用,通过一次下载任务,抓取HTTP协议数据报文,对HTTP的请求和相应报文进行详细的分析。HTTP 是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。 在Internet上的Web服务器上存放的都是超文本信息,客户机需要通过HTTP协议传输所要访问的超文本信息。
snat 和 dnat
06-07
SNAT和DNAT都是网络地址转换技术的一种。SNAT(Source NAT)是指源地址转换,即在数据包从私有网络传输到公共网络时,将私有网络中的源地址替换成公共网络的IP地址。DNAT(Destination NAT)是指目的地址转换,即在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值