【LinuxShell】linux防火墙之SNAT策略和DNAT策略

最新推荐文章于 2024-07-28 00:15:00 发布
原创 最新推荐文章于 2024-07-28 00:15:00 发布 · 1.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux

文章目录

前言

  通过之前的学习,我们认识了防火墙的表、链结构,并学会了简单的编写防火墙的规则。Linux 防火墙在很多的时候承担着连接企业内、外网的重任,除了提供数据包过滤以外,还提供一些基本的网关应用。下面我们将了解防火墙中的SNAT 和DNAT策略。

一、SANT策略

1.SNAT策略概述

  SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据特定的条件修改数据包的源IP地址。

2.SNAT的典型应用环境

  局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)。

3.SNAT的工作原理

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-n58haqtf-1684736139017)(C:\Users\86138\AppData\Roaming\Typora\typora-user-images\image-20230520141734202.png)]

  客户端往网关服务器发数据包,网关服务器将从客户端发送过来数据包的源IP地址由私网IP地址转换成公网IP地址进行转发,发送至需要访问的服务器。访问后,数据包返回往网关服务器,源IP地址会作为目的IP地址,目的IP地址会作为源IP地址进行传送,然后网关服务器会把从服务器返回来的数据包的目的IP地址由公网IP地址转换成私网IP地址进行返回到客户端。

  注:SNAT的转换流程是从私网到公网,源IP地址改变,目标IP地址不变。

4.SNAT策略的应用

SNAT转换前提条件

  局域网各主机已正确设置IP地址、子网掩码、默认网关地址。

  Linux网关开启IP路由转发。

SNAT策略打开方式

临时打开

方式1:echo 1 > /proc/sys/net/ipv4/ip_forward

方式2:sysctl -w net.ipv4.ip_forward=1

永久打开

[root@localhost ~]# vim /etc/sysctl.conf
###将此行写入配置文件
net.ipv4.ip_forward = 1 		
###读取修改后的配置
[root@localhost ~]# sysctl -p

SNAT实验过程

  客户端(192.168.145.15)想要进入网关服务器的ens32端口(192.168.145.50),通过网关服务器SNAT进行IP地址转换,从ens33端口(12.0.0.50)发送给Web服务器(12.0.0.200)

在这里插入图片描述

客户端设置(Centos 7-1)

ip地址相关设置

###配置ip地址和网关
[root@localhost ~]# vi /etc/sysconfig/network-scripts/ifcfg-ens32
ADDR=192.168.145.15
NETMASK=255.255.255.0
GATEWAY=192.168.145.50
[root@localhost ~]# systemctl restart network
[root@localhost ~]# ifconfig
ens32: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.145.15  netmask 255.255.255.0  broadcast 192.168.145.255
        inet6 fe80::fd54:3fb4:558d:82fb  prefixlen 64  scopeid 0x20<link>
        ether 00:0c:29:33:c5:93  txqueuelen 1000  (Ethernet)
        RX packets 506452  bytes 704984469 (672.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 192066  bytes 12499794 (11.9 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

设置防火墙以及规则

###关闭防火墙
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
setenforce: SELinux is disabled
###清除所有规则
[root@localhost ~]# iptables -F && iptables -t nat -F

网关服务器设置(Centos 7-2)

网关服务器需要设置两个网卡,所以在虚拟机上需要添加一个网络适配器,设置完重启后生效。

在这里插入图片描述

ip地址相关设置

[root@localhost ~]# cd /etc/sysconfig/network-scripts/
###修改ens33ip地址
[root@localhost network-scripts]# vim ifcfg-ens33 
IPADDR=192.168.145.50
###复制ens33配置文件为ens36配置文件
[root@localhost network-scripts]# cp ifcfg-ens33 ifcfg-ens36
[root@localhost network-scripts]# ls
ifcfg-ens33  ifdown-post      ifup-eth     ifup-sit
ifcfg-ens36  ifdown-ppp       ifup-ib      ifup-Team
ifcfg-lo     ifdown-routes    ifup-ippp    ifup-TeamPort
ifdown       ifdown-sit       ifup-ipv6    ifup-tunnel
ifdown-bnep  ifdown-Team      ifup-isdn    ifup-wireless
ifdown-eth   ifdown-TeamPort  ifup-plip    init.ipv6-global
ifdown-ib    ifdown-tunnel    ifup-plusb   network-functions
ifdown-ippp  ifup             ifup-post    network-functions-ipv6
ifdown-ipv6  ifup-aliases     ifup-ppp
ifdown-isdn  ifup-bnep        ifup-routes
[root@localhost network-scripts]# vim ifcfg-ens36
###修改连接名称,可以没有
NAME=ens36
###网卡设备名称,必须要有
DEVICE=ens36
###删除UID标识,让系统自动分配
#UUID=b7f32ab4-a3b6-4b32-be62-812cb1a30c17
###修改ip地址
IPADDR=12.0.0.50
###重启网卡服务
[root@localhost network-scripts]# systemctl restart network
[root@localhost network-scripts]# ifconfig
ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.145.50  netmask 255.255.255.0  broadcast 192.168.145.255
        inet6 fe80
最低0.47元/天 解锁文章
Linux防火墙——DNAT转换控制
灵魂在求知中净化。。。
05-26 785
Linux防火墙——DNAT转换控制DNAT作用工作原理DNAT的前提条件DNAT转换规则防火墙规则备份与还原DNAT详细解析 DNAT作用 一般在Internet中发布内网服务器。 工作原理 客户机通过将网关作为目标地址,通过路由与DNAT将外网IP转化为内网IP访问服务器,就实现了HTTP请求。在服务端通过网关服务器实现HTTP应答,回馈客户机。 DNAT的前提条件 局域网的web服务器难过访问Internet。 网关的外网IP地址有正确的DNS解析记录。 Linux网关支持IP路由转发。 DN
SNATDNAT+实战项目
繁星若渺的博客
11-19 650
目录1、SNAT策略概述(出站)2、SNAT的典型应用环境3、项目实测3.1、实验坏境3.2、需求描述3.3、测试步骤3.31、内网上设置 1、SNAT策略概述(出站) ■ SNAT策略的典型应用环境 ● 局域网主机共享单个公网IP地址接入Internet ■ SNAT策略的原理 ● 源地址转换,Source Network Address Translation ● 修改数据包的源地址 2、SNAT的典型应用环境 3、项目实测 3.1、实验坏境 一台客户机充当内网:192.168.74.10 一台客
Linux--firewalld-NAT地址转换实验(DNATSNAT,开启路由转发功能)
CN_TangZheng的博客
12-15 4491
- NAT包含DNATSNAT - DNAT:目标地址转换(Destination Network Address Translation)是Linux防火墙的一种地址转换操作,是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP目标端口 - SNAT:源地址转换(Source Network Address Translation)也是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址
linux防火墙】设置开启路由转发,SNATDNAT转换原理及应用实操,添加自定义链归类iptables规则
liu_xueyin的博客
11-30 2028
#指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链中,作用到源ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略
linux 实现SNAT技术
blh2393430755的博客
03-17 1301
一、实验环境 1.说明:SNAT是针对源ip地址做的地址转换 2.软件:VMware 15 ,slave1与slave2系统都为centos 7 3.网络:Vmnet8 为nat类型网络 可想象为现实中的公网地址 可正常访问外网 VMnet1 与 vmnet7 都为仅主机类型的主机 ,可想象为现实中的内网地址,无法访问外网 4.拓扑图如下(sw为交换机) 二、前提配置 1. centos 克隆的配置 nmcli con add con-name ens33-static..
防火墙——SNATDNAT策略的原理及应用、防火墙规则的备份、还原抓包
最新发布
Linux运维老纪的博客
07-28 1453
Linux 防火墙在很多时候承担着连接企业内、外网的重任,除了提供数据包过滤功能以外,还提供一些基本的网关应用。本章将学习 Linux 防火墙SNATDNAT 策略,分别掌握两个典型的应用:局域网共享一个公网 IP 地址接入 Internet;向 Internet 发布位于内网的应用服务器。本章还将学习防火墙脚本的使用。
LinuxShelllinux防火墙之iptables防火墙
一个萌新的博客
05-17 907
iptables防火墙增删改查等操作
shell之iptables 防火墙
Ggggggggggu的博客
07-12 727
在 Internet 中,企业通过架设各种应用系统来为用户提供各种网络服务,如 Web 网站、电子邮件系统、FTP 服务器、数据库系统等。那么,如何来保护这些服务器,过滤企业不需要的访问甚至是恶意的入侵呢? Linux 系统中的防火墙——netfilter iptables,包括防火墙的结构匹配流程,以及如何编写防火墙规则。Linux防火墙体系主要工作在网络层,针对 TCP/IP 数据包实施过滤限制,属于典型的包过滤防火墙(或称为网络防火墙)。Linux 系统的防火墙体系基于内核编码实现, 具
Linux防火墙之iptables
keisena的博客
11-23 334
前言 iptables位于/sbin/iptables,用来管理防火墙规则的工具,被称为Linux防火墙的"用户态" Linux包过滤防火墙 netfilter ​ 位于Linux内核中的包过滤功能体系 ​ 称为Linux防火墙的"内核态" iptables ​ 位于/sbin/iptables,用来管理防火墙规则的工具 ​ 称为Linux防火墙的"用户态" 包过滤的工作层次 ​ 主要是网络层,针对IP数据包 ​ 体现在对包内的IP地址、端口等信息的处理上 iptables的表、链结构 规则链 规则的作用:
SNATDNAT
m0_64651064的博客
02-24 3948
目录 一、SNAT策略及应用 1、SNAT策略的典型应用环境 2、SNAT策略的原理 3.具体实施步骤 二、DNAT策略及应用 1.DNAT原理与应用: 2.DNAT转换前提条件: 一、SNAT策略及应用 1、SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet 2、SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 SNAT原理与应用 SNAT应用环境;局域
LINUX - SNAT
double_Energy的博客
10-17 407
打开三台虚拟机,分别设置网关、内网、外网IP 1、 vim /etc/sysconfig/network-scripts/ifcfg-eth0 vim /etc/sysconfig/network-scripts/ifcfg-eth1 分别内网外网链接网关IP 保存退出后重启 service network restart 2、 vim /etc/sysconfig/network-scri...
SNAT策略DNAT
Carelessly_Profound的博客
10-17 329
SNAT策略的原理 源地址转换,修改数据包的源地址(内访问外) iptables -t nat -A POSTROUTING -s 局域网段的地址 -o 外网接口名称 -j SNAT --to-source外网接口的IP地址(POSTROUTING路由选择后) DNAT策略的原理 目标地址转换,修改数据包的目标地址(外访问内) iptables -t nat -A PREROUTING -i et...
Linux 防火墙 SNAT DNAT
低温热源的博客
05-21 915
局域网主机共享单个公网IP地址接入Internet(私有IP地址不能在Internet中正常路由)修改数据包的源地址SNAT可以认为是路由器NAT中的easy ipDNAT可以认为是路由器NAT中的 nat serverSNAT将 内网源地址 转化为网关的公网地址,以避免内网地址无法在公网中传输的情况临时打开IP路由转发永久打开IP路由转发。
使用SNATDNAT策略实现网关应用
weixin_34301307的博客
09-28 138
实验环境:公司的网关服务器使用RHEL5系统,其eth0网卡通过光纤接入Internet,eth1网卡连接局域网络。由于只注册了一个公网IP地址,需要在网关服务器上进行配置,使位于局域网内的员工可以通过共享的方式访问Internet。另外,还需要将内网的web服务器在Internet上发布,作为公司的电子商务平台。实验拓扑如下: 需求:网关eth0接口(192.168....
防火墙SNATDNAT
FYR1018的博客
05-10 1999
1 SNAT 原理与应用1.1 SNAT 应用环境策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理与应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份还原5.2 tcpdump---Linux抓包 监听网络流量命令
SNAT策略的应用
weixin_48190892的博客
10-23 329
DNAT策略的应用1. SNAT策略概述1.1 原理2. 实验2.1 过程2.2 测试2.3 共享动态ip上网2.4 配置openssh服务 1. SNAT策略概述 1.1 原理 源地址转换 修改数据包的源地址 2. 实验 2.1 过程 先创建三个虚拟机 第一台虚拟机使用VM1网卡 第二台虚拟机使用VM1网卡NAT模式 第三台虚拟机使用NAT模式 先给三台虚拟机设置永久挂载,ip地址设置,永久关闭防火 墙内核 第一台配置 vi /etc/sysconfig/network-scripts/ifcfg
防火墙中的SNATDNAT
2301_81307988的博客
03-13 1319
总结起来,这条规则的效果是:所有发往公网IP地址12.0.0.254且目标端口为80的TCP数据包,在到达本地主机并准备转发到内部网络之前,其目标IP地址都会被转换成192.168.68.4。随后,在虚拟机上面的外网服务器去curl一下12.0.0.1,curl12.0.0.1出现的是内网服务器的网页内容,表明去连外网网关,就等于访问内网服务器。目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射。
Linux SNAT/DNAT简单理解与案例分析。
weixin_30410119的博客
07-25 466
在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范,路由器是不能这样工作的,但它的确是一个方便且得到了广泛应用...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我的宝贝大唐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值