SNAT原理与应用:.
SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
SNAT原理:源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射
SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发
linxu想系统本身是没有转发功能 只有路由发送数据
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
永久打开:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件
sysctl -p #将取修改后的配置
注:还有一种方式静态路由,这个就比较麻烦
把源地址根据数据包的目的地址来做源映射
局域网共享上网
交换机是做硬件地址寻址
首先 SNAT 在做http请求时 会把源地址转化为公网ip 目标地址不变
http回应时 源地址不变 目标地址从公网ip到达路由网关时转化为目标客户端的地址
这就是SNAT映射原理 类似于内网环境访问公网环境时通过路由器做源IP地址转换 把内网ip转化为公网ip来在广域网里使用 路由器的转发和端口映射的对应关系
注:还有一种方式静态路由,这个就比较麻烦
SNAT转换1:固定的公网IP地址:
#配置SNAT策略,实现snat功能,将所有192.168.100.0这个网段的ip的源ip改为10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1
可换成单独IP 出站 外网网卡 外网IP
或
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10
内网IP 出站 外网网卡 外网IP或地址池
SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE
小知识扩展:
一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网。
DNAT原理与应用:
DNAT应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。
DNAT转换前提条件:
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
DNAT原理 内网内pc端访问外网服务器时 首先跨网段是不能直接通讯的 所以做http请求时通过DNAT源地址不变,目标地址先是指向网关服务器的ip地址 然后再由网关服务器进行转发 源地址还是不变 但是目标ip指向了外网服务器的地址 这是http请求的步骤 http回应的时候也是同理 首先目标地址是不变的 源地址先是外网服务器的ip地址 然后数据包到达网关服务器以后通过DNAT把源地址转换为网关服务器的ip地址 去的时候源地址不变 目标地址从网关服务器变为外网服务器 回来的时候 目标地址不变 源地址从外网服务器变为网关服务器
出去源不变 回来目标不变
3. Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p
DNAT转换1:发布内网的Web服务
#把从ens37进来的要访问web服务的数据包目的地址转换为192.168.100.13
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.13
或 入站 公网IP 内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.13
入站 公网IP 端口 内网服务器IP
注:默认时80
回包
iptables -t nat -A POSTROUTING -s 192.168.100.13 -o ens37 -j SNAT --to 10.0.0.1
内网IP 出站外网网卡 外网地址
可以现场做个域名解析
入站外网网卡外网IP
内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 80 -j DNAT --to 192.168.100.13-192.168.100.20
地址段
DNAT转换2:发布时修改目标端口
#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.100.13:22
入站外网网卡 外网IP 外网远程端口 内网IP和远程端口号
#在外网环境中使用SSH测试
ssh -p 250 root@10.0.0.1
yum -y install net-tools #若没有ifconfig 命令可提前使用yum 进行安装
ifconfig ens33
iptables -nvL -t nat 查看
注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回
小知识扩展:
主机型防火墙主要使用INPUT、OUTPUT链,设置规则时一般要详细的指定到端口
网络型防火墙主要使用FORWARD链,设置规则时很少去指定到端口,一-般指定到IP地址或者到网段即可
防火墙规则的备份和还原
导出(备份)所有表的规则.
iptables-save > /opt/ipt.txt
导入(还原)规则
iptables-restore < /opt/ipt.txt
将iptables规则文件保存在/etc/sysconfig/iptables中,iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则文章来源:https://www.toymoban.com/news/detail-481461.html
tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i ens33 : 只抓经过接口ens33的包
(3)-t : 不显示时间戳
(4)-s 0: 抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
(5)-c 100 :只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析文章来源地址https://www.toymoban.com/news/detail-481461.html
到了这里,关于SNAT和DNAT的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!