SNAT与DNAT概述
当内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换功能称为SNAT,主要用于内部共享IP访问外部网络
当内部地址需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部将公网IP转换为私网IP,此转换功能称为DNAT,主要用于内部服务对外发布
SNAT
SNAT的典型应用环境:
- 局域网主机共享单个公网IP地址接入Internet。(私有IP不能在Internet中正常路由)
SNAT策略的原理:
- 源地址转换,Source Network Address Translation
- 修改数据包的源地址
SNAT源地址转换过程:
- 数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。
- 当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。
- 当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分
SNAT配置
SNAT转换前提条件
- 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- Linux网关开启IP路由转发
Linux网关开启IP路由转发
1、临时开启:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1永久开启:
vim /etc/sysctl.conf
net.ipv4.ip_forward=1 #将此行写入配置文件
sysctl -p #读取修改后的配置SNAT转换1:固定公网IP
固定配置SNAT策略,实现SNAT功能,将所有192.168.184.0这个网段内的ip的源地址改为12.0.0.2的公网IP地址
iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2
或 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to-source 12.0.0.2-12.0.0.10
#-A POSTROUTING 指定POSTROUTING链
#-s 192.168.72.0/24 源地址所处的网段(内网IP)
#-o ens33 出站网卡
#-j SNAT #--to 12.0.0.2 外网IP
#--to-source 12.0.0.2-12.0.0.10 外网地址
SNAT转换2:非固定的公网IP地址(共享动态IP地址)池
iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADEDNAT原理及应用
服务器一般不会暴露在公网中,极易被人攻击。服务器一般使用内网IP,所以访问服务器时需要进行目标地址转换。
DNAT策略的原理:
- 目标地址转换,Destination Network Address Translation
- 修改数据包的目标地址
DNAT源地址转换过程:
- 数据包从外网发送到内网时,DNAT会把数据包的目标地址由公网IP转换成私网IP。
- 当相应的数据包从内网发送到公网时,会把数据包的源地址由私网IP转换为公网IP。
- 客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。
- 如果多台服务器使用同一个网关,那么通过不同的端口号来对应不同的服务器
DNAT的配置
DNAT转换前提条件
-
局域网的服务器能够访问Internet
-
网关的外网地址有正确的DNS解析记录
-
Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward=1 #将此行写入配置文件
sysctl -p #读取修改后的配置DNAT转换1:发布内网的Web服务
把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.72.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.102
或 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10-192.168.72.20
#-A PREROUTING //修改目标地址的链
#-i ens33 //入站网卡
#-d 12.0.0.254 //数据包的目的地址
#-p tcp --dport 80 //数据包的目的端口
#-j DNAT //使用DNAT功能
#--to 192.168.109.11 //内网服务器IPtcpdump—Linux抓包
wireshark 抓包工具只在windows中使用
tcpdump 可以在Linux系统中使用
tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap- tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。*
-i ens33 :只抓经过接口ens33的包。
-t:不显示时间戳
-s 0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。
-c 100 :只抓取100个数据包。
dst port ! 22 :不抓取目标端口是22的数据包。
src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。文章来源:https://www.toymoban.com/news/detail-418044.html
-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析文章来源地址https://www.toymoban.com/news/detail-418044.html
到了这里,关于DAY 39 SNAT和DNAT技术的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
