SNAT与DNAT的基本概念与配置

最新推荐文章于 2025-09-28 19:53:42 发布
原创 最新推荐文章于 2025-09-28 19:53:42 发布 · 1.8k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables

本文详细介绍了SNAT(源地址转换)和DNAT(目标地址转换)的基本原理及应用场景,包括如何通过配置实现局域网共享上网及发布内部服务器至互联网。

文章目录

一、SNAT策略概述

原理:源地址转换,修改数据包中的源IP地址
作用:可以实现局域网共享上网
配置的表及链:nat表中的POSTROUTING

企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网
网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B,
B收到回应包后修改其目的地址,即回应包改为(源:ipC,目标:ipA)然后将数据包转发给A。在这个过程中,修改了请求报文的源地址,叫做SNAT
(source NAT POSTROUTING),用于局域网访问互联网。

注意:
不能在防火墙B的PREROUTING链上设置转换源地址的防火墙策略,因为若在B的PREROUTING链上设置转换源地址的防火墙策略,此时还未检查路由表,还不知道要到达数据包中目标主机需经过本机的哪个网卡接口,即还不知道需将源地址替换为哪个公网网卡的ip,需在POSTROUTING设置转换源地址的防火墙策略。

二、DNAT概述

原理:修改数据包中的目标IP地址
作用:将位于企业局域网中的服务器进行发布
配置在nat表中的PREROUTING链上

互联网主机C想访问企业内部的web服务器A,但A的地址是私有地址,无法直接访问。此时,C可以访问防火墙的公网地址,C的请求数据包(源:ipC,目标:ipB)到达防火墙B后,在B的prerouting上将请求数据包的目标地址进行修改,并将数据包(源:ipC,目标:ipA)发送给A。A收到后进行回复发送响应包(源:ipA,目的ipC)到防火墙,防火墙收到后对数据包源地址进行修改,并将响应包(源:ipB,目标:ipC)给C。利用这种机制可以将企业内部的服务发布到互联网。
在这个过程中,修改了请求报文的目标地址,叫做DNAT(destination NAT POSTROUTING),用于互联网访问局域网

最低0.47元/天 解锁文章
精选资源
VMware之SNATDNAT.docx
01-03
虽然这里没有详细介绍具体的配置命令,但理解 SNATDNAT 的基本原理对于日常运维和故障排查至关重要。理解了这两种技术,就能更好地管理和优化虚拟机的网络通信,提高网络效率和安全性。 总之,SNATDNAT 是 ...
NAT、SNATDNAT
yiqinshang的博客
01-10 2852
一、linux里存放dns服务器ip地址的配置文件 [root@slave-mysql ~]# vim /etc/resolv.conf -->存放dns服务器ip地址的,真正我们进行域名查询的时候,就到这个文件里找dns服务器地址 # Generated by NetworkManager nameserver 114.114.114.114 二、NAT 公有ip:互联网上 私有ip:局域网里使用 NAT的概念:Network Address Translation,网络地址转换
iptablesDNAT配置方法
热门推荐
08-02 3万+
1.一对一流量完全DNAT首先说一下网络环境,普通主机一台做防火墙用,网卡两块eth0 192.168.0.1  内网eth1 202.202.202.1 外网内网中一台主机 192.168.0.101现在要把外网访问202.202.202.1的所有流量映射到192.168.0.101上命令如下:#将防火墙改为转发模式echo 1 > /proc/sys/net/i
防火墙——SNATDNAT策略的原理及应用、防火墙规则的备份和还原
王大雏的博客
05-25 3530
防火墙——SNATDNAT策略的原理及应用、防火墙规则的备份和还原一、SNAT策略概述1、SNAT应用环境2、SNAT原理3、SNAT转换的前提条件二、SNAT策略的应用1、临时打开2、永久打开3、SNAT转换1:固定的公网IP地址4、SNAT转换2:非固定的公网IP地址(共享动态IP地址)三、DNAT策略概述1、DNAT应用环境2、DNAT原理3、DNAT前提条件四、DNAT策略的应用1、编写DNAT转换规则2、DNAT转换1:发布内网的Web服务3、DNAT转换2:发布时修改目标端口4、扩展五、防火墙
NAT(SNATDNAT)企业实战
最新发布
2503_93245728的博客
09-28 1757
SNAT修改数据包的源IP地址,通常用于内网设备访问外网时隐藏真实IP。
SNATDNAT
Tianyueeiyang的博客
08-20 1643
SNAT(Source Network Address Translation)和 DNAT(Destination Network Address Translation)是 Linux iptables 防火墙中的两种网络地址转换技术,用于在网络数据包传输过程中修改源地址和目标地址。它们在网络环境中起到重要作用,允许在不同网络中进行网络通信,并提供网络安全和负载均衡等功能。SNAT 是一种将源 IP 地址和端口号转换为不同地址和端口的技术。
SNATDNAT
Arlssaze的博客
09-21 1862
前言 为了我们的安全策略,也是为了扩展让多个内网ip可以公用一个公网ip来进行上网。nat技术已经是一门非常成熟,且无法忽视的技术了 NAT(Network AddressTrnslation网络地址转换) 首先说说局域网内封包的传送, 1. 先经过 NAT table 的 PREROUTING 链; 2. 经路由判断确定这个封包是要进入本机否,若不进入本机,则下一步; 3. 再经过 Filter table 的 FORWARD 链; 4. 通过 NAT table 的 POSTROUTIN
iptables中的snatdnat配置技术文档
Gengchenchen的博客
01-03 3759
文章目录(一)、snat实验: 首先需要弄清楚snatdnat的区别: 从定义来讲它们一个是源地址转换(snat),一个是目的地址转换(dnat)。都是地址转换的功能,将私有地址转换为公网地址。 要区分这两个功能可以简单的由连接发起者是谁来区分: SNAT:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。 DNAT:当内部需要提供
iptablesSNATDNAT
qq1356059950的博客
05-17 723
iptablesSNATDNAT前言一、SNAT策略及应用(1)SNAT策略概述①SNAT应用环境②SNAT的策略原理③SNAT转换前提条件(2)开启SNAT命令(3)SNAT案例二、DANT原理应用(1)DNAT概述①DNAT应用环境②DNAT原理③DNAT转换前提条件(2)开启DNAT命令(3)DNAT转化(4)临时修改目标端口DNAT案例 前言 一、SNAT策略及应用 (1)SNAT策略概述 ①SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中
【LVS入门宝典】LVS NAT模式实战指南:ip_forward、iptablesSNATDNAT规则配置详解
IT成长日记的博客
09-21 1000
然而,在实际部署过程中,许多工程师常常在ip_forward配置iptables规则管理和SNAT/DNAT设置等关键环节遇到问题,导致服务无法正常工作。随着经验的积累,我们可以进一步探索LVS的DR和TUN模式,或者结合Keepalived、HAProxy等工具构建更加完善的负载均衡解决方案。ip_forward(IP转发)是Linux内核的一个参数,控制是否允许系统在不同网络接口间转发数据包,在LVS NAT模式下,Director需要接收外网数据包并转发到内网服务器,因此必须启用IP转发功能。
SNAT DNAT
qq_57093716的博客
02-18 2718
分离解析,你牛!
linux防火墙——DNAT配置
m0_65544268的博客
07-12 864
用于设置目标地址转换(Destination NAT)规则的命令。DNAT 是一种网络地址转换技术,它允许将一个网络数据包的目标 IP 地址更改为另一个 IP 地址。简单来说,就是修改数据包中的目的IP地址。
SNATDNAT配置
weixin_33786077的博客
02-05 536
一、SNAT可以解决如果只有一个公有地址而使全公司可以访问Internet,SNAT只能用在nat表的POSTROUTING链。配置SNAT环境如下:在内部地址和Internet配置网站在网关服务器添加两块网卡eth0:192.168.10.254 和eth1:172.16.1.254,并开启路由功能。在网关服务器上配置SNAT策略到internet测试机上查看日志,发现访问者不是192.168....
【网络】SNATDNAT
qq_41152046的博客
04-08 3359
在网络通信中,当外部网络的主机向内部网络发送数据包时,数据包的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据包的路由。在网络通信中,当外部网络的主机向内部网络发送数据包时,数据包的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据包的路由。当外部网络的主机需要访问内部网络的资源时,数据包的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据包的路由。如果外部网络的主机需要访问内部网络的资源,就需要使用DNAT技术将外部网络的请求路由到内部网络的某个主机上。
1分钟了解DNATSNAT
撬锁不偷车
04-01 1691
DNAT(Destination Network Address Translation,目标网络地址转换)和SNAT(Source Network Address Translation,源网络地址转换)是两种在网络技术中使用的地址转换方法,它们都归属于网络地址转换(NAT)的范畴。在SNAT中,数据包的源IP地址会被转换成一个在公共网络中可路由的IP地址。在这种情况下,数据包的目的IP地址会被转换成私有网络中的目标地址。:SNAT发生在数据包离开内部网络时,而DNAT发生在数据包进入内部网络时。
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 3352
计算机网络SNATDNAT 的详细配置步骤
Linux防火墙之--SNATDNAT
qq_51506982的博客
10-07 4085
当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。firewall-cmd --list-all 查看。firewall-cmd --zone=指定区域。添加,浏览器20.0.0.10即可看到是否成功。2.给网关服务器添加一张虚拟网卡。查看区域内允许通过的服务。web端连接客户端测试。做SNAT的地址转换。
iptables中实现内外网相互访问——SNATDNAT的原理应用
12-29
### iptables SNATDNAT实现内外网互访 #### 一、SNATDNAT基本概念 源网络地址转换(SNAT, Source Network Address Translation) 和目的网络地址转换(DNAT, Destination Network Address Translation) 是iptables中两种重要的功能。通过这些技术可以改变数据包中的源IP或目标IP,从而实现在不同网络之间的通信。 - **SNAT** 主要用于当内部网络的设备想要访问外部互联网时,将来自私有IP的数据包替换为公共IP地址发出;返回时再把响应重定向回原始请求者[^2]。 - **DNAT** 则是在接收到外界发往特定端口的服务请求时,将其转发给位于内网的实际提供服务的机器处理,并确保回复能够正确地回到发起方[^1]。 #### 二、具体应用场景下的命令实例 为了使内部服务器可以通过单一公网IP对外提供HTTP服务(假设公网IP为`12.0.0.1`): ```bash # 设置DNAT规则,将进入接口ens36的目标为12.0.0.1:80的TCP流量转向至192.168.240.13 iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.240.13 ``` 为了让局域网内的计算机(如子网`192.168.10.0/24`)能够上网冲浪而不暴露其真实的本地IP: ```bash # 启用IPv4转发支持 echo "net.ipv4.ip_forward=1" >> /etc/sysctl.conf && sysctl -p # 添加MASQUERADE规则来执行动态SNAT操作 iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens33 -j MASQUERADE ``` 以上设置允许内部客户端发送出去的数据包被伪装成路由器本身的公有IP地址,而接收回来的数据则会自动解码并送达到正确的内部主机上[^5]。 #### 三、验证配置效果的方法 完成上述配置之后,可以从外网尝试使用curl或其他工具测试能否成功连接到指定的内部Web服务器,以此检验DNAT是否生效。对于SNAT部分,则可通过抓包分析确认外出流量确实经过了IP地址转换过程[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值