SNAT/DNAT/MASQUERADE

最新推荐文章于 2024-06-26 09:50:14 发布
原创 最新推荐文章于 2024-06-26 09:50:14 发布 · 271 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNATDNAT

SNATsource networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IPPC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了,所以叫做SNAT基于源地址的地址转换

DNATdestination networkaddress translation的缩写,即目标网络地址转换,典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip,互联网上的访问者使用公网ip来访问这个网站,当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip,防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上,这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了,即DNAT基于目标的网络地址转换

MASQUERADE,地址伪装,算是snat中的一种特例,可以实现自动化的snat。

在iptables中有着和SNAT相近的效果,但也有一些区别,但使用SNAT的时候,出口ip的地址范围可以是一个,也可以是多个,例如:

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去,

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source192.168.5.3-192.168.5.5

这就是SNAT的使用方法,即可以NAT成一个地址,也可以NAT成多个地址,但是,对于SNAT,不管是几个地址,必须明确的指定要SNAT的ip,假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变,而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址,这个时候如果按照现在的方式来配置iptables就会出现问题了,因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的,每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip,这样是非常不好用的。

MASQUERADE就是针对这种场景而设计的,他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT。

比如下边的命令:

iptables-t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

如此配置的话,不用指定SNAT的目标ip了,不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去,这样就实现了很好的动态SNAT地址转换。

网关的SNATDNAT的详细原理介绍以及配置
start_up_go的博客
06-07 601
SNAT(Source Network Address Translation)用于修改数据包的源IP地址,通常应用于内网设备访问外网的场景。其核心原理是将内网私有IP地址转换为公网IP地址,实现对外通信。DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址,通常用于外网访问内网服务的端口映射。
iptables中SNAT, DNAT, MASQUERADE
韦编二绝
07-25 3872
iptables中SNAT, DNAT, MASQUERADE
iptables 中 SNATDNATMASQUERADE 的含义
12-02 2807
IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNATDNATSNAT是source networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报
iptables(11)target(SNATDNATMASQUERADE、REDIRECT)
Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客
06-26 1828
前面我们已经介绍了ACCEPT、DROP、REJECT、LOG,这篇文章我们介绍SNATDNATMASQUERADE、REDIRECT,这几个参数的定义我们在上篇文章中都有介绍,我这里再列出回顾一下。
SNATDNAT的区别
韦编二绝
07-25 3万+
SNATDNAT的区别
iptables中snatdnatmasquerade
qq_24650793的博客
02-04 218
iptables中可以做各种网络地址转换(NAT),网络地址转换主要有两种:SNATDNATSNAT是source networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip,这是因为,这个服务器收到的数据包的报头里边的
防火墙之SNATDNAT
FYR1018的博客
05-10 1994
1 SNAT 原理与应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
iptables之SNATDNAT
qq_45088125的博客
05-17 3655
文章目录一、SNAT策略及应用1、SNAT策略概述1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2、开启SNAT命令3、SNAT案例 一、SNAT策略及应用 1、SNAT策略概述 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发
网络安全基于iptables的SNATDNAT策略配置:实现内外网双向通信流量控制
最新发布
11-24
文中给出了临时和永久开启Linux路由转发功能的方法,并演示了使用SNATMASQUERADE两种方式的规则配置。DNAT(目的地址转换)则用于对外发布内网服务,如将外网对公网IP某端口的访问请求重定向到内网服务器,文中以...
iptables中的SNATMASQUERADE
weixin_33922672的博客
08-10 234
2019独角兽企业重金招聘Python工程师标准>>> ...
IPtables中SNATDNATMASQUERADE的含义
热门推荐
jk110333的专栏
11-27 10万+
IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNATDNATSNAT是source networkaddress translation的缩写,即源地址目标转换。比如,多个PC机使用ADSL路由器共享上网,每个PC机都配置了内网IP,PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip,当外部网络的服务器比如网站web服务器接到访
iptables
zc58778560的博客
08-23 542
数据包会依次经过不同的链。我们可以创建“自定义链”,作为默认链的target使用。相似的规则放在一个表中,一个表只能适用于某些链上。iptables为我们提供了如下”表”:(1)filter表:过滤数据包。(2)nat表:网络地址转换。(3)mangle表:拆解报文,做出修改,并重新封装。(4)raw表:关闭nat表上启用的连接追踪机制。表的优先顺序:raw -> mangle -> nat -> filter表适用的链: 增加规则 iptables命令格式: (1)-t 表raw, mangle, nat
Netfilter学习之NAT类型动态配置(三)MASQUERADE内核空间的实现
ty的博客
03-25 3205
  本节中,我们分析MASQUERADE在内核空间的实现。详细分析在代码中以注释的形式说明。 1.ipt_MASQUERADE.c源码分析   iptables 命令行在用户空间配置之后,会激活相应的内核空间的钩子函数。此源码即为钩子函数的注册。 /* Masquerade. Simple mapping which alters range to a local IP addre......
iptable端口重定向 MASQUERADE
tycoon的专栏
11-04 1万+
首先简述下NAT服务器在负载均衡中做了什么,简单的说就是Linux (内核2.4以后是Netfilter肩负起这个使命滴)内核缓冲区修改来源,目标地址。 但是,由于Netfilter工作在Linux 内核我们无法直接操作它,所以Linux提供了iptables。 用iptables实现: 说到iptables目前最多应用在防火墙了,我们公司的所有的服务器都配置了ipt
iptables(NAT)
weixin_49888561的博客
06-04 2304
被动模式配置:iptables -t nat -A PREROUTING -p tcp -m multiport --dports 21,8001:9000 -j DNAT --to 192.168.10.13。iptabls -t nat -A PREROUTING -s 180.15.10.10 -p tcp --dport 2221 -j DNAT --to 192.168.10.13:22(端口映射)主动连接是服务器通过20号端口主动向客户端建立连接(SNAT
iptables 中的SNATMASQUWERADE
weixin_34192732的博客
02-21 225
NAT 是 network address translation 的缩写 网络地址转换 网络地址转换主要有两种:SNATDNAT,即源地址转换和目标地址转换 SNAT:源地址转换 eg:多台pc机使用ADSL路由器共享上网 每个pc都配置了内网IP,当pc机要访问外部网络的时候,路由器将数据包的包头的源地址替换成器的ip 解释:当外部网络的服务器比如网站web服务器接到访问请求的...
iptable filter nat MASQUERADE snat dat
weixin_33862514的博客
01-31 181
在这里,系统会根据IP数据包中的destination ip address中的IP地址对数据包进行分发。如果destination ip adress是本机地址,数据将会被转交给INPUT链。如果不是本机地址,则交给FORWARD链检测。 这也就是说,我们要做的DNAT要在进入这个菱形转发区域之前,也就是在PREROUTING链中做, 比如我们要把访问202.103.96.112的...
linux nat
04-27 325
(一)Iptables 的使用语法在使用iptables的NAT功能时,我们必须在每一条规则中使用"-t nat"显示的指明使用nat表。然后使用以下的选项::1. 对规则的操作加入(append) 一个新规则到一个链 (-A)的最后。在链内某个位置插入(insert) 一个新规则(-I),通常是插在最前面。在链内某个位置替换(replace) 一条规则 (-R)。在链内某个位置删...
SNATDNAT
08-05
SNAT(Source Network Address Translation,源网络地址转换)和 DNAT(Destination Network Address Translation,目的网络地址转换)是网络地址转换(NAT)技术中的两种主要形式,它们在网络通信中扮演着不同的角色。 SNAT主要用于内部网络访问外部网络时的情况,它将数据包的源IP地址转换为另一个IP地址,通常是公网IP地址。这种转换使得多个内部设备可以共享一个或一组公网IP地址来访问互联网,从而节省了有限的IPv4地址资源,并提高了网络的安全性。例如,在一个使用私有IP地址的局域网中,当一台主机想要访问互联网上的服务时,其发出的数据包的源地址会被网关路由器上的SNAT功能转换成公网IP地址。这样,外部的服务端看到的请求来源就是这个公网IP地址,而不是内部主机的实际私有地址。配置SNAT策略可以通过命令如`iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2`来实现[^5]。 DNAT则相反,它处理的是从外部网络到内部网络的流量,通过修改数据包的目的IP地址,将原本发送给公网IP地址的数据包重定向到内网中的特定主机上。这在需要向外部用户提供服务时非常有用,比如提供Web服务或者FTP服务等。假设有一个位于内网的服务服务器,其私有IP地址为192.168.100.77,而网关路由器拥有公网IP地址172.16.16.254。当外部客户端尝试连接该服务时,它们实际上是向网关的公网IP地址发起请求。此时,网关会利用DNAT技术将这些请求的目标地址转换为内部服务器的私有地址,确保流量能够正确送达至内部的服务主机。此外,DNAT还支持端口转发,允许对外隐藏内部服务的实际端口号[^4]。 两者之间的区别在于作用方向和服务目的的不同:SNAT关注于改变外出数据包的源地址以实现内部网络对外部网络的访问;而DNAT则是调整进入数据包的目标地址,以便让外部用户能够访问到内部网络中的服务。两者共同构成了完整的NAT机制,对于构建安全、高效的网络环境至关重要。 网络地址转换的工作原理基于对IP数据包头部信息的修改。每当数据包穿越执行NAT功能的设备时,无论是出站还是入站流量,都会根据预设规则检查并可能更改相应的地址字段。对于SNAT来说,这意味着更新数据包的源地址;而对于DNAT,则是更新目标地址。这一过程通常伴随着端口号的变化,尤其是在PAT(Port Address Translation)模式下,即所谓的“多对一”映射场景,其中不仅IP地址被转换,连同端口号也会被重新分配以区分不同的内部连接[^1]。 为了更直观地展示SNATDNAT的应用,下面分别给出简单的示例代码片段,演示如何使用iptables命令行工具配置基本的SNATDNAT规则。 ### SNAT配置示例 ```bash # 假设内部网络接口为eth1,公网接口为eth0 # 将所有来自192.168.1.0/24网段的流量的源地址转换为eth0接口的公网IP iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE ``` ### DNAT配置示例 ```bash # 假设公网接口为eth0,希望将所有到达eth0接口80端口的流量转发给内部Web服务器192.168.1.100的80端口 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80 ``` 以上命令仅作为基础示例,实际部署时需根据具体的网络环境和需求进行调整。同时,还需要确保相关的防火墙规则允许相应的流量通过,并且正确设置了路由路径。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值