NAT 网络地址转换

已于 2024-12-21 22:29:59 修改
阅读量1.1k 收藏 29
点赞数 30
分类专栏: Linux 综合 文章标签: linux 网络
于 2024-12-21 22:14:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/IT_ZRS/article/details/144636921
版权

在这里插入图片描述

目录

背景

条件

物理服务器、Linux 操作系统、多网口 ens33、ens36,网段分别为 192.168.172.0/24、172.16.20.0/24。

需求

如何实现当访问 https://172.16.20.132:19200 时访问的是 https://192.168.172.131:9200。

方案

通过服务器系统 iptables 实现 NAT 端口映射。

步骤

启用 IP 转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

设置 DNAT(目的地址转换)

将 172.16.20.132 的某个端口(如 19200)映射到 192.168.172.131 的服务端口(如 9200)

iptables -t nat -A PREROUTING -i eth0 -d 172.16.20.132 -p tcp --dport 19200 -j DNAT --to-destination 192.168.172.131:9200

# 注意:eth0 是 172.16.20.132 的网络接口名

设置 SNAT 或 MASQUERADE(源地址转换)

确保从 172 段返回的流量能够正确路由回 192 段

iptables -t nat -A POSTROUTING -o eth1 -d 192.168.172.131 -p tcp --dport 9200 -j MASQUERADE

# 注意:eth1 是 192.168.172.131 的网络接口名

防火墙配置(可选)

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 9200 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -p tcp --sport 9200 -j ACCEPT

保存配置

service iptables save

流量工作流程

  • 客户端 (172 段) 向 172.16.20.132:19200 发起请求。
  • 服务器的 eth1 接收到请求,通过 DNAT 将流量转发到 192.168.172.131:9200
  • 192.168.172.131 的响应通过服务器返回给 172 段客户端,经过 SNAT,源地址会被替换为 172.16.20.132

验证

测试连接

在 172 段客户端访问 curl http://172.16.20.132:19200

如果无法访问,检查以下内容:

  • iptables NAT 规则是否生效

    iptables -t nat -L -n -v

  • 确保服务器的 eth0 可以访问 192.168.172.131

  • 日志调试(可以启用日志查看数据流是否经过)

    iptables -A FORWARD -j LOG --log-prefix "NAT_FORWARD: "

这种方式无需修改网络互通设置,只需通过 NAT 规则即可实现跨网段访问。

实验

环境

  • 产品:VMware® Workstation 16 Pro

  • 版本:16.2.4 build-20089737

  • 虚拟机/服务

    主机服务端口备注
    192.168.172.131/24elasticsearch9200部署 es 服务
    172.16.20.132/24-19200NAT 映射、验证

步骤

创建虚拟网络

[外链图片转存中...(img-d6meNNaf-1734790157579)]
在这里插入图片描述

点击下图【添加网络】按钮,并添加仅主机模式的 VMnet9,VMnet1 默认存在,可不用改动。

在这里插入图片描述

虚拟机添加双网卡

分别添加 VMnet9、VMnet1 仅主机模式的虚拟网卡。

在这里插入图片描述

如下会多出一个网络 ens36,下面静态我已经配置过了。

在这里插入图片描述

如何配置静态IP?

ens33:

vim /etc/sysconfig/network-scripts/ifcfg-ens33

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=b1684e7b-7e07-4a97-aab3-deaf26b8d82b
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.172.131
NETMASK=255.255.255.0
GATEWAY=192.168.172.2
DNS1=114.114.115.115
DNS2=61.139.2.69

ens36:

获取 ens36 的 UUID

在这里插入图片描述

cp /etc/sysconfig/network-scripts/ifcfg-ens33 /etc/sysconfig/network-scripts/ifcfg-ens36

vim /etc/sysconfig/network-scripts/ifcfg-ens36

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens36
UUID=89d5e81a-d9d3-4ef7-8f10-fd82b4fc707d
DEVICE=ens36
ONBOOT=yes
IPADDR=172.16.20.132
NETMASK=255.255.255.0
GATEWAY=172.16.20.2
DNS1=114.114.115.115
DNS2=61.139.2.69
部署 ES 服务

部署过程略。

https://192.168.172.131:9200/

在这里插入图片描述

此时 https://172.16.20.132:9200/ 是无法访问的,因为网络不同

在这里插入图片描述

启用 IP 转发
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p
设置 DNAT - 目标地址转换

将 172.16.20.132 的某个端口(如 19200)映射到 192.168.172.131 的 9200 端口

iptables -t nat -A PREROUTING -i ens36 -d 172.16.20.132 -p tcp --dport 19200 -j DNAT --to-destination 192.168.172.131:9200

# 此规则的作用是将到达 172.16.20.132 的 TCP 流量,端口为 19200 的请求,转发到 192.168.172.131 的 9200 端口。
设置 DNAT - 源地址转换

确保从 192 段返回的流量能够正确路由回 172 段

iptables -t nat -A POSTROUTING -o ens33 -d 192.168.172.131 -p tcp --dport 9200 -j MASQUERADE

# 此规则的作用是,当返回流量从 192.168.172.131:9200 发往客户端时,源IP会被伪装成出接口 ens33 的IP地址。

查看 iptables 规则:

iptables -t nat -L -n -v

在这里插入图片描述

访问验证

https://172.16.20.132:19200/

在这里插入图片描述

证明了我们的 NAT 转换效果。

思考?

以上讨论的是单服务器多网口、网口不同网段情况下的 NAT 配置,那如果是多服务器的情况下呢?又如何配置呢?其实还是一样的。

物理服务器、Linux 操作系统
A 服务器 ens33、192.168.172.131/24
B 服务器 ens36、172.16.20.132/24;ens40、192.168.172.132/24

A 服务器为单网口接入网线,B 服务器为多网口接入网线,B 服务器的 ens40 与 A 服务器的 ens33 处于同个网络。

如何实现当访问 https://172.16.20.132:19200 时访问的是A服务器的 https://192.168.172.131:9200。

步骤:

  • B 服务器上配置端口转发(DNAT)

    sudo iptables -t nat -A PREROUTING -i ens36 -d 172.16.20.132 -p tcp --dport 19200 -j DNAT --to-destination 192.168.172.131:9200

  • B 服务器上配置源地址转换(SNAT)

    sudo iptables -t nat -A POSTROUTING -o ens40 -j MASQUERADE

—END
B 服务器上配置端口转发(DNAT)

sudo iptables -t nat -A PREROUTING -i ens36 -d 172.16.20.132 -p tcp --dport 19200 -j DNAT --to-destination 192.168.172.131:9200

  • B 服务器上配置源地址转换(SNAT)

    sudo iptables -t nat -A POSTROUTING -o ens40 -j MASQUERADE

—END

网络地址转换的两种模式:SNAT和DNAT网络通信的核心
网络技术联盟站
11-15 2641
SNAT和DNAT网络地址转换NAT)的两种主要模式,它们在许多网络环境中都发挥着重要的作用。SNAT主要用于允许内部网络的主机通过一个公网IP地址访问互联网,而DNAT主要用于将外部网络的请求重定向到内部网络的特定主机。尽管SNAT和DNAT都可以提供一定程度的安全性,但它们并不能提供完全的安全保障。因此,我们应该将SNAT和DNAT作为网络安全策略的一部分,与其他安全措施(如防火墙和入侵检测系统)一起使用。
Linux路由配置实战(不同网段通信)
qq_42882717的博客
01-02 3079
虚拟机配置路由实战环境说明配置过程测试 环境说明 虚拟机 说明 centos7.0 路由器 172.16.17.170 + 192.168.43.104 windows xp A 通信A端 192.168.43.79 ubuntu18.04 B1 通信B端 172.16.17.181 ubuntu18.04 B2 通信B端 确保同一网段下能够互相ping通 配置过程 主要是配置“路由器”,使它在不同网段间能转发包 (添加网卡就不再赘述,直接描述路由器配置过程
SNAT(地址转换)、DNAT地址转换
sunrj_niu的博客
03-26 4689
SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的地址。无论使用哪种类型的地址转换,防火墙主机一定要开启IP转换的功能。 2.地址转换:通过SNAT地址转换实现共享上网 如上图所示,公司网段192.168.10.0想要通过防火墙公网地址上网,当数据包进入防火墙时修改地址信息,公司电脑通过防火墙去上网,会经过的链路有PREROUTING、FORWARD、POSTROUTING,通过防火墙出去修改地址,很
华为双向NAT中的数据包地址的转换流程
qq_47529104的博客
04-29 2287
概述 如图所示,PC1是untrust区域的主机,server1是trust区域的主机,我在防火墙上配置了双向NAT,一方面使用nat server开放了内网的DNS服务以及ICMP服务,另一方面在防火墙开启了untrust-->trust区域的NAT,转换地址池与server1同网段。 如图所示,配置了nat server后会在防火墙上生成两个server-map表用于对DNS服务以及ICMP服务的开放 测试方式 在PC1上使用ping命令,ping一个在server1上存..
Nat网络地址转换
程序猿阿蛮
09-18 5738
IP 地址中预留了 3 个私有地址网段,在私有网络内,可以任意使用。 其余的 IP 地址可以在互联网上使用,由 IANA 统一管理,称为公网地址。 NAT 解决了 IPv4 地址不够用的问题,另外 NAT 屏蔽了私网用户真实地址,提高了私网用户的安全性。 典型的 NAT 组网模型,网络通常是被划分为私网和公网两部分,各自使用独立的地址空间。私网使用私有地址 10.0.0.0/24 ,而公网使用公网地址。为了让主机 A 和 B 访问互联网上的服务器 Server ,需要在网络边界部署一台 NAT 设备用于
NAT网络地址转换
m0_58164957的博客
06-08 965
NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址,出口设备部署NAT,对于“从内外”的流量,网络设备通过NAT将数据包的地址进行转换(转换成特定的公有地址),而对于“从外到的”流量,则对数据包的的地址进行转换。动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(No-Port Address Translation,非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。公网ip地址通过多端口复用,实现私网和公网之间的N:1。
NAT网络地址转换三种模式及配置案列
最新发布
zhanglongquan的博客
06-14 6301
NAT网络术语(网络地址转换)英文全称为Network Address Translation、当企业内部员工从网络设备获取到IP地址进行通信时只能在自己的企业中通信、无法与互联网上的其他设备进行通信、如访问百度等操作是无法实现的这时又想和因特网上的主机通信(并不需要加密)时,可使用NAT技术。
计算机网络课程设计-NAT网络地址转换
08-12
【计算机网络课程设计-NAT网络地址转换】 在本次计算机网络课程设计中,主要涉及了企业网络的构建,包括网络架构、设备选型、IP地址规划、路由协议以及NAT网络地址转换等多个方面。以下是详细的知识点说明: 1. **...
网络套件字(理论知识)
m0_73495584的博客
02-08 2536
网络套件字的理论知识详解
iptables的地址、地址转换
l187567的博客
12-04 1379
表示路由前访问192.168.200.2并且标是tcp 80 端口的都会被转换标地址为192.168.115.100(也就是我们的客户机)#########如果此处设置了网关,并作为防火墙ens224的IP,那么客户机直接就能访问到web,达不到本次实验的效果。IPADDR=192.168.115.2 ##此处的IP设为防火墙的ens160的IP,用于客户机能访问防火墙。#########此处不设置网关,应为在下步实验中可以用防火墙的原地址转换来是客户机访问到web。######设置防火墙。
DNAT地址转换基本概念以及应用
江晓龙的博客
07-11 3085
所谓的DNAT地址转换指的是修改请求包中的标地址,很多情况下只有一个公网地址,但是内网服务器有几百台,想要通过一个公网地址访问到内网的所有服务器,就需要用到DNAT地址转换的功能了,接收到用户发送的数据包后,修改数据包中的标地址,根据来转发到具体的某台内网服务器中,如下图所示。 DNAT地址转换的应用场景:无论使用哪种类型的地址转换,防火墙主机一定要开始IP转换的功能。 2.通过DNAT地址转换实现IP地址/端口映射 案例描述:防火墙规则如下。...
DNAT地址转换)-IP映射和端口映射
weixin_43965383的博客
12-05 4769
防火墙NAT策略之地址转换
iptables配置——NAT地址转换
热门推荐
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的的ip地址,所以必须在路由之前就进行的PREROUTING DNAT;           系统先P
防火墙的地址转换地址转换
kobejayandy的专栏
05-31 2万+
遇到一起防火墙故障,对防火墙的工作原理和地址转换地址转换有了进一步的了解,记录于此。 结果说在前面    网络结构非常简单:外网-防火墙-内网。内网中架有网站,在外网使用域名访问。 内网中机器需要上外网,也需要用域名互访。 在这种情况下,地址转换规则应当这样配: 外网访问内网,只需要做地址转换,不需要做地址转换。 内网通过域名访问内网,除了做地址转换,还
vmware虚拟机网络模式-NAT模式
weixin_34133829的博客
03-31 3007
本文纯属自己保留,以供学习。望原作者勿怪。 原文地址:http://www.linuxidc.com/Linux/2016-09/135521p2.htm 刚刚我们说到,如果你的网络ip资紧缺,但是你又希望你的虚拟机能够联网,这时候NAT模式是最好的选择。NAT模式借助虚拟NAT设备和虚拟DHCP服务器,使得虚拟机可以联网。其网络结构如下图所示: 在NAT模式中,主机网卡直接与虚...
地址和的地址理解_【网络干货】网络安全之NAT(地址转换)技术详解
weixin_39855706的博客
11-23 2万+
一、NAT 概述NAT 是将 IP 数据报报头中的 IP 地址转换为另一个 IP 地址的过程,主要用于实现内部网络(私有 IP 地址)访问外部网络(公有 IP 地址)的功能。Basic NAT 是实现一对一的 IP 地址转换,而 NAPT 可以实现多个私有地址映射到同一个公有地址上。Basic NATBasic NAT 方式属于一对一的地址转换,在这种方式下只转换 IP 地址,而对 TCP/UDP...
NAT地址转换原理全攻略
923723914
09-27 2019
以下内容摘自正在全面热销的最新网络设备图书“豪华四件套”之一《Cisco路由器配置与管理完全手册》(第二版)(其余三本分别是:《Cisco交换机配置与管理完全手册》(第二版)、《H3C交换机配置与管理完全手册》(第二版)和《H3C路由器配置与管理完全手册》(第二版))。前在京东网、当当网、卓越网、互动出版网等书店全面热销中,购买该套装将直减30元:http://book.dangdang...
防火墙之地址转换SNAT DNAT
chengxuyuanyonghu的专栏
03-21 3万+
防火墙之地址转换SNAT DNAT 一、SNAT地址转换。 1、原理:在路由器后(PSOTROUTING)将内网的ip地址修改为外网网卡的ip地址。 2、应用场景:共享内部主机上网。 3、设置SNAT:网关主机进行设置。  (1)设置ip地址等基本信息。  (2)开启路由功能:  sed -i '/ip-forward/s/0/1/g'
DNAT地址转换
weixin_34233856的博客
07-11 157
DNAT地址转换 DNAT的应用案例 局域网的Web服务器正确设置了IP地址/子网掩码 局域网的Web服务器正确设置了默认网关地址: 配置iptables ip地址及网关: 配置外网地址及网关: 确认已开启网关的路由转发功能: 实现全网互通: 内到外: 外到内: 添加使用DNAT策略的防火墙规则: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云计算-Security

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值