SNAT实验

于 2023-04-03 10:54:08 发布
阅读量131 收藏
点赞数
文章标签: linux 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zheng_long_/article/details/129923622
版权

本文详细说明了centos7环境下SNAT实验的步骤。

SNAT是Linux系统的概念
SNAT策略的原理:

源地址转换,Source Network Address Translation
在用户的角度出发,用户发出数据时修改数据包的源IP地址,私网转公网;回来时经过NAT转换表公网转私网。

实验准备:

1台客户机(内网),客户机配置一张网卡;
1台机器作为网关路由器,配置2张网卡。

内网的虚拟机网卡模式可以是hostonly或者nat或者桥接。
linux网关路由器的LAN口需使用和内网的虚拟机网卡模式一样。

本次实验,内网的虚拟机网卡使用hostonly模式

1.1 在linux客户机上配置ip地址

查看系统版本:

[root@lb-1 ~]# cat /etc/centos-release
CentOS Linux release 7.9.2009 (Core)

配置IP:

[root@lb-1 ~]# cd /etc/sysconfig/network-scripts/
[root@lb-1 network-scripts]# vim ifcfg-ens33 
BOOTPROTO="none"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR1=192.168.99.8
PREFIX=24
DNS1=114.114.114.114
GATEWAY1=192.168.99.254

刷新网络服务:

[root@lb-1 network-scripts]# service network restart
Restarting network (via systemctl):                        [  确定  ]

测试能否和网关通信:

[root@lb-1 ~]# ping 192.168.99.254

能ping通则说明客户机搭建成功。

1.2 linux网关服务器的配置

配置LAN口的ip地址和子网掩码,不配置网关和dns服务器地址,我们会在WAN口上配置。

[root@scrouter ~]# cd /etc/sysconfig/network-scripts/
[root@scrouter network-scripts]# vim ifcfg-ens33 
BOOTPROTO="none"
NAME="ens33"
DEVICE="ens33"
ONBOOT="yes"
IPADDR=192.168.99.254
PREFIX=24

刷新服务:

[root@scrouter network-scripts]# service network restart  
Restarting network (via systemctl):                        [  确定  ]

配置WAN口的ip地址、子网掩码、网关和dns服务器地址
因为新添加的网卡,默认在系统里没有配置文件,我们需要根据ens33的网卡配置文件,创建一个文件,注意名字要和网卡的名字对应(ip add命令可查看2张网卡的名字)

本文的WAN口网卡是ens36

[root@scrouter network-scripts]# cp ifcfg-ens33 ifcfg-ens36
[root@scrouter network-scripts]# vim ifcfg-ens36
BOOTPROTO="none"
NAME="ens36"
DEVICE="ens36"
ONBOOT="yes"
IPADDR=192.168.1.88
PREFIX=24
GATEWAY=192.168.1.1
DNS1=114.114.114.114

刷新网络服务

[root@scrouter network-scripts]# service network restart
Restarting network (via systemctl):                        [  确定  ]

查看路由表

[root@scrouter network-scripts]# ip route
default via 192.168.1.1 dev ens36 proto static metric 101 
192.168.1.0/24 dev ens36 proto kernel scope link src 192.168.1.88 metric 101 
192.168.99.0/24 dev ens33 proto kernel scope link src 192.168.99.254 metric 100

查看dns服务器地址

[root@scrouter network-scripts]# cat /etc/resolv.conf 
# Generated by NetworkManager
nameserver 114.114.114.114

测试linux网关服务器能否上网

[root@scrouter network-scripts]# ping www.baidu.com
PING www.a.shifen.com (14.215.177.39) 56(84) bytes of data.
64 bytes from 14.215.177.39 (14.215.177.39): icmp_seq=1 ttl=54 time=16.9 ms
64 bytes from 14.215.177.39 (14.215.177.39): icmp_seq=2 ttl=54 time=19.1 ms

1.3 在linux网关服务器上

1.开启网关主机的路由转发功能

临时开启:

root@scrouter ~]# cat /proc/sys/net/ipv4/ip_forward
0
[root@scrouter ~]# echo 1 >/proc/sys/net/ipv4/ip_forward
[root@scrouter ~]# cat /proc/sys/net/ipv4/ip_forward
1

永久开启路由功能,修改内核参数文件/etc/sysctl.conf

[root@scrouter ~]# vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1
[root@scrouter ~]# sysctl -p   #让linux系统的内核读取新的配置,开启路由功能
net.ipv4.ip_forward = 1

2.添加使用SNAT策略的防火墙规则

iptables -t nat -A POSTROUTING -s 192.168.1.0/24  -o ens36 -j SNAT --to-source 218.29.30.31

-t nat 表示在nat表里进行操作 table
-A POSTROUTING 表示在POSTROUTING 位置追加一条规则 append
-s 192.168.1.0/24 指定源ip地址是来自那个网段 source
-o ens33 指定数据从那个接口出去 out interface
-j SNAT 采取SNAT动作,修改ip包里的源ip地址
–to-source 218.29.30.31 指定修改ip包里的ip地址为 218.29.30.31是WAN口的ip地址

或者编写snat策略的脚本:

[root@scrouter ~]# vim snat.sh
[root@scrouter ~]# cat snat.sh 
#!/bin/bash

#清除filter和nat表里的防火墙规则
iptables  -t filter  -F
iptables  -t nat  -F

#开启路由功能
echo 1 >/proc/sys/net/ipv4/ip_forward

#添加SNAT策略
iptables  -t  nat  -A POSTROUTING  -s  192.168.99.0/24 -o ens36 -j SNAT --to-source 192.168.1.88
[root@scrouter ~]# bash snat.sh  #执行脚本
[root@scrouter ~]# iptables -t nat -L -n  #查看nat表里的规则

在客户机上验证是否可以访问百度,可以一步步ping过去,检查问题所在

ping www.baidu.com

如果能ping通说明客户机(内网)可以通过我们配置的网关路由器去上网,自此实验成功!!

甘い生活
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SNAT实验步骤详解
MartinGarrix_的博客
10-17 1386
环境是三台虚拟机,其中一台需要两块网卡,我们称其为网关,另两台分别为内网和外网 配置网卡 第一块网卡 网卡第二块 内网 网关值使用网关的网关值 外网网关值使用网关的网关值 三台虚拟机都要重启服务 关闭防火墙和沙盒 在网关上开启路由转发0改为1 使用命令sysctl -p 使改动立即生效 书写防火墙规则 到内网ping外网 就可以ping通了 到外网编辑一个HTML文件 使用火狐浏览器查看 到...
SNAT实验(linux里操作)
LZW_6688的博客
07-31 249
1.实验准备 一台client客户机,一台firewall网关服务器。 2.网络拓扑图 3.具体操作 1.首先给client客户机和firewall网关服务器配置网卡信息 cd /etc/sysconfig/network-script 网关服务器配置信息: ...
十五、计算机网络--SNAT实验
Anthonyyyy的博客
02-05 853
1.规划网络 2.配置 客户机client [root@client network-scripts]# cd /etc/sysconfig/network-scripts [root@client network-scripts]# vim ifcfg-ens33 BOOTPROTO="none" NAME="ens33" DEVICE="ens33" ONBOOT="yes" IPADDR=192.168.80.1 PREFIX=24 GATEWAY=192.168.80.254 ..
Linux防火墙规则和SNAT实验和DNAT实验
生夏夏的博客
03-07 478
Linux防火墙功能是由内核实现的,在2.4版及以后的内核中,包过滤机制是netfilter,管理工具是iptables。netfilter是Linux内核中的包过滤防火墙功能体系,称为Linux防火墙的内核态。iptables是用来管理防火强墙的命令工具,为防火墙体系提供过滤规则,决定如何过滤或处理到达防火墙主机的数据包,称为Linux防火墙的用户态。
【综合实验】之 SNAT 和 DNAT
FYR1018的博客
05-25 351
1 关闭三台虚拟机防火墙2 配置网关服务器4 配置内网192.168.80.205 配置外网12.0.0.2006 测试三台虚拟机是否可以正常访问7 配置网关服务器的 iptables 规则8 客户端12.0.0.254:8080测试9 分离解析配置---网关服务器
SNAT的搭建
10-17
详见阐述了SNAT搭建的实验步骤,每一步都有截图,详情见Word
iptables之SNAT和DNAT
最新发布
01-08
iptables、SNAT和DNAT实验
Linux防火墙配置SNAT教程(2)
01-11
 以实验Linux防火墙配置-SNAT1”为基础,为网关增加外网IP地址,为eth1创建虚拟接口,使外网测试主机在Wireshark中捕获到的地址为eth1虚拟接口的地址  (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ...
Linux防火墙配置SNAT教程(1)
01-10
实验“防火墙配置-访问外网WEB”为基础,在WEB服务器上安装Wireshark,设置Wireshark的过滤条件为捕获HTTP报文,在Wireshark中开启捕获,在内网测试机上访问WEB服务器,查看捕获结果,再在网关防火墙上设置SNAT,...
配置SNAT实现局域网主机上网(亲测)
dxwd的专栏
01-14 537
如下图所示,局域网1中的服务器是可以访问外网的,由于种种原因局域网1内无法再新增主机了,只好新增局域网2。于是就出现这样一种需求,局域网2中的服务器器也要访问外网。怎么实现无外网的服务器借助有外网的服务器上网呢?看了很多博客,有的提到使用PPTP软件,试了下不行。经过一番尝试,发现其实最简单方法就是通过iptables一条命令就可以实现了。这是一个典型的SNAT场景,具体实现看下文。从局域网2中的任意一台服务器ping。能够ping 通说明配置成功。操作系统版本如下图所示。
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 2156
计算机网络SNAT 和 DNAT 的详细配置步骤
SNAT和DNAT
weixin_33726943的博客
05-17 118
SNAT和DNAT简介SNAT:局域网共享一个公网IP接入lnternel,好处如下1、保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被***的可能。2、Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT。3、省钱,公网地址付费,使用SNAT...
SNAT
ducai001的博客
10-17 3826
SNAT策略的应用 SNAT : Source Network Address Translation 源地址转换 实验环境:三台虚拟机,一台内网(192.168.2.77),一台网关(两块网卡192.168.2.88/172.16.16.88),一台外网(172.16.16.77)。三台ip修改并重启,关闭沙盒和防火墙,把三台的网络连接模式改成相互对应的,内网网卡对应网关网卡一,外网网卡对应...
iptables SNAT/DNAT测试
weixin_34378045的博客
07-15 799
环境:CentOS 6.4(最小化安装)SNAT测试:地址规划:NodeIP addressGWEndUser192.168.101.241/24192.168.101.1iptableseth1:192.168.101.1/24eth0:192.168.100.242/24192.168.100.1EndUser:[root@EndUser~]#tail-n5/e...
Linux防火墙iptables之SNAT与DNAT
sukapulai的博客
04-24 2808
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT转换1:固定的公网IP地址 SNAT转换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip转发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
SNAT 实验
wxy110304的博客
10-17 1047
SNAT 实验 需要三台虚拟机并修改IP 相互ping通 一台为网关 一台为内网 一台为外网 修改网关IP 并添加一块网卡 2.修改内网IP 3.修改外网IP 4.外网链接内网 内网连接外网 5.在网关上修改路由转换 vim /etc/sysctl.conf 6。检测一下是否成功 (sysctl -p) 7.内网检测是否能ping到外网 8.在网关上添加防火墙规则 9....
详细分析SNAT和DNAT原理与应用
热门推荐
码海小虾米_的博客
05-25 1万+
SNAT原理与应用一、 SNAT原理的应用1.1 原因环境和原理1.2 开启SNAT的命令1.3 SNAT转换1.3.1 SNAT转换1∶固定的公网IP地址∶1.3.2 SNAT实验1.3.3 SNAT转换2: 非固定的公网IP地址 (共享动态IP地址);二、 DNAT原理的应用2.1 DNAT的工作原理2.2 DNAT转换前提条件2.3 DNAT转换1∶ 发布内网的Web服务2.4 DNAT转换2∶ 发布时修改目标端口2.5 防火墙规则的备份和还原三、Linux抓包 一、 SNAT原理的应用 1.1 原
iptables规则中SNAT规则设置
实践求真知
11-22 7159
NAT分类     二 SNAT场景模拟     三 SNAT配置规则 在转发机上配置如下两步 1、打开内核参数 [root@localhost ~]# sysctl -w net.ipv4.ip_forward=1 [root@localhost ~]# sysctl -a|grep ip_forward net.ipv4.ip_forward = 1 net.i
配置 SNATNAT
xo_zhang的专栏
05-07 7560
• 安全网络地址转换简介 • 创建SANT pool • 实施SNAT • 实施NAT • 管理SNATNAT • SNAT 示例 安全网络地址转换简介 在 BIG-IP®本地流量管理(LTM)系统上配置的Real Server 可以将入 站数据包的目的地IP 地址转换为另一个目的地IP 地址,以便对该数据 包进行负载平衡。通常,源IP 地址保持不变。 此外,也可以创建安全
iptables SNAT
12-21
iptables SNAT是一种网络地址转换技术,用于修改数据包的源IP地址。SNAT代表源网络地址转换(Source Network Address Translation)。通过使用iptables命令,可以将数据包的源IP地址替换为指定的IP地址,从而实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值