IPtables中SNAT、DNAT和MASQUERADE的含义

最新推荐文章于 2021-09-01 16:33:27 发布
最新推荐文章于 2021-09-01 16:33:27 发布
阅读量505 收藏
点赞数
分类专栏: TCP/IP 网络

IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNATDNAT

SNATsource networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IPPC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了,所以叫做SNAT基于源地址的地址转换

DNATdestination networkaddress translation的缩写,即目标网络地址转换,典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip,互联网上的访问者使用公网ip来访问这个网站,当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip,防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上,这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了,即DNAT基于目标的网络地址转换

MASQUERADE,地址伪装,算是snat中的一种特例,可以实现自动化的snat。

在iptables中有着和SNAT相近的效果,但也有一些区别,但使用SNAT的时候,出口ip的地址范围可以是一个,也可以是多个,例如:

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去,

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3-192.168.5.5

这就是SNAT的使用方法,即可以NAT成一个地址,也可以NAT成多个地址,但是,对于SNAT,不管是几个地址,必须明确的指定要SNAT的ip,假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变,而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址,这个时候如果按照现在的方式来配置iptables就会出现问题了,因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的,每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip,这样是非常不好用的。

MASQUERADE就是针对这种场景而设计的,他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT。

比如下边的命令:

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

如此配置的话,不用指定SNAT的目标ip了,不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去,这样就实现了很好的动态SNAT地址转换。

原文地址:http://blog.csdn.net/jk110333/article/details/8229828


Linux环境下实现NAT转换的一种较为简单的办法

在Linux服务器上为了安全经常要对内网IP做NAT转换,实现的方法有很多,这里介绍一种较为简单的办法。步骤如下:
(1)配置好linux服务器的两块网卡的IP地址。这里假设网卡eth0是连接外网的,IP地址为202.114.99.222。网卡eth1是连接内网的。IP地址设为192.168.0.1。

(2)在系统中任意位置建立一个脚本文件,这里假设在 /etc/ 目录下建立一个nat.sh的shell脚本。

(3)在脚本中输入下面2条命令。(有颜色的部分由实际情况而定)

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -d 202.114.99.222 -p tcp
--dport 1352  -j DNAT --to-destination 192.168.0.3:1352

    其中非黑色处为随实际情况而变的。eth1为连接内网的网卡名,若是其他的网卡名则需要更换。192.168.0.0/24 为内网地址池的IP范围。若你使用的是10.10.0.0/8等,则需更改此处。202.114.99.222 为NAT服务器连接外网的IP,根据实际情况确定。192.168.0.3为内网中应用程序服务器的IP地址,根据实际情况确定。1352为内网中应用程序服务器通讯所使用的端口。例如你使用tomcat服务器,此处为8080。

(4)修改文件/etc/rc.d/rc.local文件,在最后一行加上脚本的绝对路径。这里就是加上 /etc/nat.sh。

    这样在每次开机就自动实行了NAT转换功能。

    注意:要实现NAT本来只需要在命令行输入(3)中的2条命令即可。但这样在下次开机(重启)时命令就失效了。为了实现每次开机(重启)时自动NAT,在/etc/rc.d/rc.local中加上包含命令的脚本路径,这样每次开机(重启)时就自动执行这2条命令了。

    以上方法在Redhat9.0和Redflag5.0上做了实验,均可成功实现NAT功能。



小白的学习笔记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables常见命令解与DNAT
Miao233_的博客
12-26 901
1. netfilter五个钩子函数和报文流向- 1.1 各链路生效的时间- 1.2 三种报文流向- 1.3流入报文规则图- 1.4 流出报文规则图- 2 iptables- 2.1 五个表格- 2.2 五个内置链- 2.3 链路与表的关系- 3 iptables 格式及子命令- 3.1 子命令- 3.1.0 -L子命令规则- 4.1 隐式扩展匹配- 4.1.1 tcp子选项- 4.1.2 ud...
iptables的SNATMASQUERADE
weixin_33922672的博客
08-10 188
2019独角兽企业重金招聘Python工程师标准>>> ...
网络通信名词汇总
MatinBell的博客
03-13 2798
TCP:transmission control protocal :传输控制协议 IP:internet protocal :网际协议 OSI:open system interconnection:开放系统互联 协议分层模型: TCP/IP:应用层、主机到主机层(TCP)(又称传输层)、网络层(IP)(又称互联网)、网络接口层(又称链路层) OSI:(应用层、
部分通信术语
blueman2012的专栏
02-08 916
1.3 术语定义 MM: Multimedia Messaging (多媒体消息) SP: Service Provider (业务提供商) MO: Mobile Originated (终端发起) MT: Mobile Terminated (终端终止) AO: Application Originated (应用发起) AT: Application Terminated(应用终止
linux centos7 iptables NAT服务器
梦想是很难很难的,所以先勇敢一点
09-01 944
NAT服务器简介 首先简述下NAT服务器在负载均衡做了什么,可以灵活的做各种网络地址转换(NAT),简单的说就是Linux (内核2.4以后是Netfilter肩负起这个使命滴)内核缓冲区修改来源,目标地址。 但是,由于Netfilter工作在Linux 内核我们无法直接操作它,所以Linux提供了iptables。 用iptables实现: 说到iptables目前最多应用在防火墙了,我们公司的所有的服务器都配置了iptables防火墙,比如 说到iptables目前最多应用在防火墙了,我们公司的所有的
Iptables 文指南
07-23
修正和清空iptables的命令 B. 常见问题于与解答 B.1. 模块装载问题 B.2. 未设置SYN的NEW状态包 B.3. NEW状态的SYN/ACK包 B.4. 使用私有IP地址的ISP B.5. 放行DHCP数据 B.6. 关于mIRC DCC的问题 C. ICMP类型 ...
linux24-iptables
08-10
- `-j`:指定规则动作,如ACCEPT、DROP、REJECT、MASQUERADE、SNAT、DNAT和LOG等。 例如,如果要禁止所有ICMP(ping)请求,可以使用以下命令: ```bash iptables -A INPUT -p icmp -j DROP ``` 这会拒绝所有进入...
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 ...以上是对iptables学习笔记提到的关键概念和流程的详细总结。这些知识点是理解并有效配置iptables的基础,能够帮助用户更好地控制网络流量、实现网络安全策略。
iptables基本命令规则简介
11-21
* -j 采取的动作,accept,drop,snat,dnatmasquerade * --sport 源端口 * --dport 目的端口,端口必须和协议一起来配合使用 注意:所有链名必须大写,表明必须小写,动作必须大写,匹配必须小写 iptable 配置...
iptables 高级使用研讨 v1.0.0.pdf
11-22
**MASQUERADE** 和 **SNAT** 都属于源地址转换技术,但它们的使用场景不同。 - **MASQUERADE**: - **作用**: 当主机有多个网络接口时,自动根据路由表选择出口地址。 - **应用场景**: 通常用于内网通过单一公网IP...
linux-iptables nat设置路由转换
Coohx
04-01 1万+
DNAT(Destination Network Address Translation,目的地址转换) 通常被叫做目的映射。而SNAT(Source Network Address Translation,源地址转换)通常被叫做源映射。这是我们在设置Linux网关或者防火墙时经常要用来的两种方式。以前对这两个都解释得不太清楚,现在我在这里解释一下
iptables NAT使用总结
OpenWrt/WLAN/驱动/Android/嵌入式开发总结
05-15 1万+
首先对SNAT DNAT进行概念介绍: SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情况 DNAT:目标地址转换 和SNAT相反,源地址不变,重新修改目标地址,在本机建立NAT表项,当数据返回时,根据NAT
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
mpu6050陀螺仪使用方法开发教程文档.docx
07-30
mpu6050陀螺仪使用方法
【SCI顶级】龙格库塔算法RUN-CNN-LSTM-Multihead-Attention温度预测【含源码 5747期】.zip
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
大模型的数学之魂:统计学习理论精要
07-30
大型机器学习模型,通常简称为“大模型”,是指具有数十亿甚至数千亿参数的深度神经网络模型。这些模型因为其庞大的参数量和复杂的计算结构,能够处理非常复杂的任务和数据,展现出强大的表达能力和预测性能。大模型在自然语言处理、计算机视觉、语音识别和推荐系统等多个领域都有广泛的应用。 大模型的设计目的是通过训练海量数据来学习复杂的模式和特征,从而具备强大的泛化能力,能够对未见过的数据做出准确的预测。与参数较少、层数较浅的小模型相比,大模型虽然需要更多的计算资源和时间来训练和推理,但它们展现出了一种被称为“涌现能力”的特性,即从原始训练数据自动学习并发现新的、更高层次的特征和模式。 大模型的发展历程可以分为几个阶段,从早期的卷积神经网络模型发展到以Transformer为代表的全新神经网络模型,再到当前以GPT为代表的预训练大模型阶段。Transformer架构因其自注意力机制而成为大模型的核心技术,它使得模型能够更好地理解和处理文本数据的长距离依赖关系。 大模型的分类主要包括语言大模型(NLP)、视觉大模型(CV)和多模态大模型。语言大模型专注于处理文本数据和理解自然语言,而视觉大模型用
唯美淡雅四页.zip
最新发布
07-30
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
仿真验证阵列可以提高接收信号信噪比
07-30
这是一份模拟了阵列输入信号及噪声,并验证了相对于阵列接收到的信号,阵列输出信号可以将信噪比提高M倍,其M为阵列的阵元个数的代码。 代码可以随意修改阵元个数、阵元间距、波束指向角度、信号频率等。 代码关键部分均含有文字注释,完全不必担心看不懂。 无论是从仿真波形,还是计算的信噪比结果均能看出阵元数为M的阵列将信号的信噪比提高了M倍。
iptables SNAT DNAT
07-28
SNAT和DNATiptables的两个重要选项。 SNAT(Source Network Address Translation)用于修改数据包的源IP地址。它通常用于将内部网络的私有IP地址转换为公共IP地址,以便数据包可以正确地在公共网络上进行路由。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值