SNAT原理

最新推荐文章于 2025-10-24 08:37:16 发布
原创 最新推荐文章于 2025-10-24 08:37:16 发布 · 3.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析SNAT(源地址转换)策略,阐述其在解决IPv4地址匮乏问题上的作用,详细说明SNAT的工作原理,包括如何通过修改源IP地址使局域网内的设备能够共享上网。同时,提供了在Linux环境下配置SNAT的具体步骤和实例。

SNAT 策略及应用
• SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址

SNAT 策略概述
随着internet网络的快速发展,IPv4可支持的可用IP地址资源逐渐匮乏,大部分企业面临着局域网内的主机接入internet的需求,从而通过SNAT策略来解决局域网共享上网的问题,可得以缓解。而解决IPv4地址匮乏的是 (IPv6)

工作原理
• 当只开启路由转发,未设置地址转换的情况
从局域网内的PC访问Ineternet的数据包经过网关转发后其源IP地址保持不变,但是当Internet中的主机收到这样的请求数据包是,响应数据包则无法正确返回,从而导致访问失败(私有地址不能再Internet中正常路由)

• 当开启路由转发,并设置SNAT转换的情况
从局域网内的PC访问Ineternet的数据包经过网关时,会先进行路由选择,若发现该数据包需要从外网接口向外转发,则将其源IP地址修改为网关的外网接口地址,然后才发送给目标主机(相当于从网关服务器的公网IP地址提交数据访问请求,目标主机也可以正确返回响应数据包)

SNAT策略的应用
SNAT的典型应用是为局域接口IP地址网共享上网提供接入策略,处理数据包的切入时机是在路由选择之后(POSTROUTING)进行,其关键操作是将局域网外发数据包的源IP地址(局域网内的私用地址)修改为网关服务器的外网接口IP地址

SNAT策略只能用在nat表的POSTROUTING链,使用iptables命令编写SNAT策略时,需要结合 “–to-source IP 地址” 选项来指定修改后的源IP地址

共享固定IP地址上网实例

实例环境:

• linux网关通过两块网卡ens33,ens37分别连接Internet和局域网,其中ens33的IP地址为192.168.100.134(虚拟机,假设是公网),ens37的IP地址192.168.99.254
• 所有局域网PC的默认网关为192.168.99.254
• 要求192.168.99.0/24的网段的PC能够正常访问Internet

打开网关的路由转发
IP转发是实现路由功能的关键所在,对应文件为/proc文件系统中的ip_forward设置,当值为1时表示启动,为0表示关闭。
若要使用linux主机作为网关设备,必须开启路由转发。
以下设置永久打开路由转发功能,修改sysctl.conf配置文件

也可以临时开启路由转发,如下
echo 1 > /proc/sys/net/ipv4/ip_forward
或者
sysctl -w net.ipv4.ip_forward=1

正确设置SNAT策略
将源地址更改为网关的公网IP地址

可以同过iptables -t nat -L POSTROUTING 来查看

验证结果

共享动态IP地址上网
在某些情况下,网关的外网IP地址可能并不是固定的,如果使用ADSL宽带接入时。应对这种情况,iptables命令提供了一个名为MASQUERADE(伪装)的数据包控制类型
同样用来修改(伪装)的数据包控制类型,能过自动获取外网接口的IP地址
若要使用MASQUERADE伪装策略,只需去掉SNAT策略中的“–to-source IP 地址”,改用“-j MASQUERADE”指定数据包控制类型 ---------接口名称通常为ppp0,ppp1等

iptables -T NAT -A POSTROUTING -s 192.168.99.0/24 -o ppp0 -j MASQUERADE

如果网关使用固定的公网IP地址,最好选择SNAT策略而不是MASQUERADE策略,以减少不必要的系统开销
思科模拟器模拟SNAT
8第–步:筛选出感兴趣的流量
9 Router(config)#ip access-list standard 1
10 Router(config-std-nac1)#permit any
11第二步:定义地址池
12 Router(config)#ip nat pool mypo 222.210.1.10 222.210.1.10 netmask 255.255.255.0
13第三步:
14定义SNAT的方向
15 Router(confi g)#i nterface f0/0
16 Router(config-if)#ip nat inside
17 Router(config-if)#exit
18 Router(confi g)#interface f0/1
19 Router(config-if)#ip nat outside
20第四步:
21应用策略到接口
22 Router(config)#ip nat inside source list 1 poo1 mypo

在这里插入图片描述

SNAT与DNAT的原理及应用
别来沾边儿
08-05 886
src 192.168.1.2(client) ,dnat 10.14.11.177(firewall),dst 192.168.2.2(http server),添加回环规则后,从src对10.14.11.177进行请求,然后转到dst,随后进行相反操作,最后src客户端收到源为 10.14.11.177,目的为自身的数据包,因此会正确接收。例如回环,就用到了SNAT和DNAT。3 dst进行请求回复,进行pre的反操作,进行源地址的转换: 192.168.2.2》10.14.11.177,......
网关的SNAT与DNAT的详细原理介绍以及配置
start_up_go的博客
06-07 622
SNAT(Source Network Address Translation)用于修改数据包的源IP地址,通常应用于内网设备访问外网的场景。其核心原理是将内网私有IP地址转换为公网IP地址,实现对外通信。DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址,通常用于外网访问内网服务的端口映射。
防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原
weixin_69543697的博客
07-29 1165
SNAT DNAT
防火墙之SNAT和DNAT
FYR1018的博客
05-10 1999
1 SNAT 原理与应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
SNAT技术解析
m0_46540828的博客
10-24 841
文章摘要: SNAT(源网络地址转换)通过修改数据包源IP,实现内网设备共享公网IP访问互联网。其核心流程包括:内网请求→路由器替换源IP为公网IP并记录映射→互联网响应→路由器反向转发。SNAT支持多设备复用同一公网IP(通过端口区分),隐藏内网拓扑提升安全,并缓解IPv4地址短缺问题,广泛应用于家庭/企业网络及云服务。与DNAT不同,SNAT专注内网→互联网的访问(修改源IP),而DNAT实现互联网→内网的服务暴露(修改目的IP)。
防火墙中的SNAT 与DNAT
2301_81307988的博客
03-13 1319
总结起来,这条规则的效果是:所有发往公网IP地址12.0.0.254且目标端口为80的TCP数据包,在到达本地主机并准备转发到内部网络之前,其目标IP地址都会被转换成192.168.68.4。随后,在虚拟机上面的外网服务器去curl一下12.0.0.1,curl12.0.0.1出现的是内网服务器的网页内容,表明去连外网网关,就等于访问内网服务器。目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射。
SNAT原理及解析
weixin_34161083的博客
08-30 901
 snat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,可能有人觉得奇怪,好好的为什么要进行ip地址转换啊,为了弄懂这个问题,我们要看一下局域网用户上公网的原理,假设内网主机A(192.168.2.8)要和外网主机B(61.132.62.131)通信,A向B发出IP数据包,如果没有SNAT对A主机进行源地址转换,A与B主机的通讯会不正常中断,因为当路由器将内网...
SNAT和DNAT原理及应用
m0_71931851的博客
09-20 5888
SNAT和DNAT原理及应用
snat.rar_JIRZ_SNAT实现方法_VQW_vpp feature snat
09-21
通过分析这个源代码文件,我们可以深入理解SNAT在vPP环境中的工作原理,以及JIRZ和VQW如何影响其性能和行为。 总之,SNAT的实现是一个复杂的过程,涉及网络地址转换、会话管理、硬件加速等多个方面。在vPP框架下,...
Linux防火墙之SNAT与DNAT原理
weixin_55609833的博客
05-25 861
Linux防火墙之SNAT与DNAT原理一、SNAT原理及应用1.概述DNAT的原理及应用规则的导出与导入(即备份与恢复) 一、SNAT原理及应用 SNAT应用环境域网:主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT原理:修改数据包的源地址。 1.概述 随着 Internet 网络在全世界范围内的快速发展,IPv4 协议支持的可用IP地址资源 逐渐变少,资源匮乏使得许多企业难以申请更多的公网 IP 地址,或者只能承受一个或者少数几个公网 IP 地址的费
SNAT概述
Sldy0701的博客
03-07 8681
SNAT策略及应用 DNAT策略及应用 规则的导出,导入 使用防火墙 SNAT策略概述 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 SNAT原理与应用 SNAT应用环境;局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)SNAT原理;源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映谢
SNAT和DNAT的原理以及实验
suwenyang_blogs
04-26 1369
SNAT(Source Network Address Translation) 源地址转换,根据指定条件修改数据包的源IP地址,缓解了ipv4匮乏的问题。 DNAT(Destination Network Address Translation) 目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全 本次实验可以更清楚的了解SNAT和DNAT的工作原理 1.实验环境:(具体配置如图) 2.两个实验中,防火墙服务器和server router是同一台服务器,在这台服务..
防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份、还原和抓包
Axic123的博客
05-22 1597
SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据特定的条件修改数据包的源IP地址。在Internet中发布位于局域网内的服务器。
Linux私房菜—Shell命令(十)SNAT|DNAT|SNAT转换条件|DNAT转换条件
🈚️
05-26 825
Firewalld防火墙1.Firewalld概述2.Firewalid和Iptables的区别 1.Firewalld概述   一款工作在CentOS7网络层的系统默认的防火墙管理工具,它会根据区域进行相应的防护,区域由网卡或接口关联组成[过滤漏斗]每个区域都定义了自己打开或关闭的端口和服务列表   Firewalld和Iptables都是用来管理防火墙的工具(属于用户态)来定义防火墙的各种规则功能,内部结构都指向netfilter网络过滤子系统(属于内核态)来实现包过滤防火墙功能。   Firewall
SNAT和DNAT原理及配置方法
chengu04的博客
08-01 9712
文章目录SNAT策略概述DNAT策略概述SNAT和DNAT配置防火墙规则的备份和还原 SNAT策略概述 原理:修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,B收
SNAT和DNAT的原理与应用】
DiKL_Y的博客
05-21 4048
SNAT和DNAT实验和抓包
详细分析SNAT和DNAT原理与应用
热门推荐
码海小虾米_的博客
05-25 1万+
SNAT原理与应用一、 SNAT原理的应用1.1 原因环境和原理1.2 开启SNAT的命令1.3 SNAT转换1.3.1 SNAT转换1∶固定的公网IP地址∶1.3.2 SNAT实验1.3.3 SNAT转换2: 非固定的公网IP地址 (共享动态IP地址);二、 DNAT原理的应用2.1 DNAT的工作原理2.2 DNAT转换前提条件2.3 DNAT转换1∶ 发布内网的Web服务2.4 DNAT转换2∶ 发布时修改目标端口2.5 防火墙规则的备份和还原三、Linux抓包 一、 SNAT原理的应用 1.1 原
linux snat 源端口冲突,Nova-network中发现的一个SNAT问题
weixin_39671467的博客
05-01 560
网络环境网络设置采用的是单网络节点、flatDHCP,br100(ip:10.61.2.12)桥接到eth0作为flat interface,fixed_range=10.0.0.0/24,eth1(ip:10.61.5.1)作为public interface, floating_range=10.61.5.128/25,另有eth3(ip:10.17.20.254)连接到网络10.17.20....
snat
最新发布
10-30
SNAT即源网络地址转换(Source Network Address Translation),其典型应用是为局域网接口IP地址网共享上网提供接入策略,关键操作是将局域网外发数据包的源IP地址(局域网内的私用地址)修改为网关服务器的外网接口IP地址 [^2]。 SNAT原理是,在路由选择之后(POSTROUTING)对数据包进行处理,将局域网外发数据包的源IP地址修改为网关服务器的外网接口IP地址。在SNAT转换地址的过程中,网关服务器会根据之前建立的SNAT映射,将响应数据包正确返回局域网中的源主机。只要连接的第一个包被SNAT处理了,那么这个连接及对应数据流的其他包也会自动地被进行SNAT处理。同时,Internet中的服务器并不知道局域网PC的实际IP地址,中间的转换完全由网关主机完成,一定程度上起到了保护内部网络的作用 [^1][^2]。 SNAT的使用方法涉及使用`iptables`命令进行配置。用私网地址直接上网存在有去无回的问题,因为互联网上没有私网地址的路由,报文返回时没有路由。SNAT只是源地址替换,可能存在多台机器同时请求,是私有对公有、多对一的关系;但回来时是公对私、一对多,若端口不做映射,多台机器可能启动同一个端口。内部私有网络地址不要配置公有地址,因为会屏蔽外面真实的公有地址。以下是一些`iptables`配置SNAT的示例: - 对于专线情况: ```bash iptables -t nat -A POSTROUTING -s 192.168.37.0/24 -j SNAT --to-source 172.16.0.7 ``` - 对于拨号上网(公网地址会变动)情况: ```bash iptables -t nat -A POSTROUTING -s 192.168.37.0/24 -j MASQUERADE ``` 还可以使用`iptables`自定义链,示例如下: ```bash # 定义自定义链 iptables -N TOINTERNET # 允许特定网段的ICMP请求 iptables -I TOINTERNET -s 192.168.37.0/24 -p icmp --icmp-type 8 -j ACCEPT # 允许特定网段的TCP 80端口请求 iptables -I TOINTERNET -s 192.168.37.0/24 -p tcp --dport 80 -j ACCEPT # 将自定义链关联到系统的FORWARD链 iptables -I FORWARD -j TOINTERNET ``` 另外,可将`iptables`规则文件保存在`/etc/sysconfig/iptables`,`iptables`服务启动时会自动还原规则,命令如下: ```bash iptables-save > /etc/sysconfig/iptables ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值