NAT: How To Mangle The Packets

最新推荐文章于 2021-12-03 11:02:27 发布
转载 最新推荐文章于 2021-12-03 11:02:27 发布 · 1k 阅读 · 0
文章标签:

#linux kernel #netfilter #nat

本文详细介绍了Linux内核中NAT规则的使用方法,包括源地址转换(Source NAT)、目标地址转换(Destination NAT)和重定向(Redirection),并提供了具体的iptables命令示例,帮助理解如何在不同场景下进行网络流量的操纵。

6. Saying How To Mangle The Packets

So now we know how to select the packets we want to mangle. Tocomplete our rule, we need to tell the kernel exactly what we want itto do to the packets.

6.1 Source NAT

You want to do Source NAT; change the source address of connectionsto something different. This is done in the POSTROUTING chain, justbefore it is finally sent out; this is an important detail, since itmeans that anything else on the Linux box itself (routing, packetfiltering) will see the packet unchanged. It also means that the `-o'(outgoing interface) option can be used.

Source NAT is specified using `-j SNAT', and the `--to-source'option specifies an IP address, a range of IP addresses, and anoptional port or range of ports (for UDP and TCP protocols only).

## Change source addresses to 1.2.3.4.
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

## Change source addresses to 1.2.3.4, 1.2.3.5 or 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

## Change source addresses to 1.2.3.4, ports 1-1023
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023

Masquerading

There is a specialized case of Source NAT called masquerading: itshould only be used for dynamically-assigned IP addresses, such asstandard dialups (for static IP addresses, use SNAT above).

You don't need to put in the source address explicitly withmasquerading: it will use the source address of the interface thepacket is going out from. But more importantly, if the link goesdown, the connections (which are now lost anyway) are forgotten,meaning fewer glitches when connection comes back up with a new IPaddress.

## Masquerade everything out ppp0.
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

6.2 Destination NAT

This is done in the PREROUTING chain, just as the packet comes in;this means that anything else on the Linux box itself (routing, packetfiltering) will see the packet going to its `real' destination. Italso means that the `-i' (incoming interface) option can be used.

Destination NAT is specified using `-j DNAT', and the`--to-destination' option specifies an IP address, a range of IPaddresses, and an optional port or range of ports (for UDP and TCPprotocols only).

## Change destination addresses to 5.6.7.8
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8

## Change destination addresses to 5.6.7.8, 5.6.7.9 or 5.6.7.10.
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10

## Change destination addresses of web traffic to 5.6.7.8, port 8080.
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \
        -j DNAT --to 5.6.7.8:8080

Redirection

There is a specialized case of Destination NAT called redirection:it is a simple convenience which is exactly equivalent to doing DNATto the address of the incoming interface.

## Send incoming port-80 web traffic to our squid (transparent) proxy
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128

Note that squid needs to be configured to know it's a transparent proxy!

basing on Linux kernel 2.4.

directly from: http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html

flxue
关注
netfilter之conntrack-helper
fengcai_ke的博客
07-18 2249
netfilter conntrack-helper
kubeadm 以 containerd & cri-docker 作为容器运行时,部署1.26.9版本的kubernetes集群
刘某的博客
04-12 1175
本文采用 kubeadm,以 containerd & cri-docker 作为容器运行时,部署 calico 网络模式的k8s集群
防火墙Mangle-连接标记和包标记-从零开始学RouterOS系列09
bierxiu9789的博客
08-09 840
本章主要用途:连接标记和包标记的关系QOS里面的连接标记,对于主要是对于符合规则的数据包进行归类,用于其他模块的调用,如常见的队列Queue,策略路由,PCC多拨等。我们先讲解一下连接标记和包标记,这是为了后面的队列树做前提。首先连接是什么?当我们发起一个请求的话,请求网站提供图片下载,就是一条连接。那么图片很大,需要很多次数据包才能下载完成。这就是连接和数据包的关系。一个连...
iptables语法总结
zzulp的专栏
05-22 4657
iptables SyntaxAs presented earlier, iptables uses the concept of separate rule tables for different packet processing functionality. Nondefault tables are specified by a command-line
Mangle的开篇记----一个初级phper的心路历程
weixin_30672019的博客
01-14 104
从培训学校学习php出来至今差不多有小半年了吧,年关之前回顾了过去的2013的得与失. 2013年头,在经历2次不太愉快的工作经历后,下定决心踏上进京学习的道路.5个月之后我以为我会充满信心的找到理想的工作,从此踏上人生的正轨.然而事实正好相反,我就好像一只刚跳出井底的青蛙,看着自己学的一点皮毛,对于未来,反而是更加充满着迷茫.跌跌撞撞间,加入了目前就职的一家外包公司.说...
Iptables Tutorial 1.2.1(2)
子曰小玖的博客
05-20 2789
Chapter 7. The state machine This chapter will deal with the state machine and explain it in detail. After reading through it, you should have a complete understanding of how the State machine works. We will also go through a large set of examples on how
Iptables Tutorial 1.2.1(3)
子曰小玖的博客
05-20 2544
Chapter 12. Debugging your scripts One of the big and underestimated sides of writing your own rulesets is how to debug the rulesets on your own, and how to find where you have done your mistakes in the rulesets. This chapter will show you a few basic ste
Kubernetes 使用kubeadm创建集群
m0_60028455的博客
12-03 2537
镜像下载、域名解析、时间同步请点击 阿里巴巴开源镜像站 实践环境 CentOS-7-x86_64-DVD-1810 Docker 19.03.9 Kubernetes version: v1.20.5 开始之前 1台Linux操作或更多,兼容运行deb,rpm 确保每台机器2G内存或以上 确保当控制面板的结点机,其CPU核数为双核或以上 确保集群中的所有机器网络互连 目标 安装一个Kubernetes集群控制面板 基于集群安装一个Pod networ以便集群之间可以相互通信安装指导 安装Docker 安装
Linux Netfilter简介
飞翔de刺猬
01-11 3528
Netfilter From Wikipedia, the free encyclopedia Jump to: navigation, search Netfilter Stable release Linux 3.1 / 2011-10-24 Development status Active Written in C O
ROS中Mangle解析
weixin_33694620的博客
06-06 566
http://blog.youkuaiyun.com/bluecy/article/details/8192307
mangle 打标签冲突
weixin_33738982的博客
02-10 210
网络环境1、一台服务器中有两个网络出口,出口1为电信;出口2为联通;出口3位移动,三个网络出口通过p55p1出网只是vlan不同。默认网关在移动2、内网出口为p55p2出网网络需求内网的所有80流量和443流量全部走联通口,其中内网源地址中的1.1.1.1用户80流量走电信网络top需要指定一个策略路由表 web 和 nw 其中web走80和443流量,nw走1.1.1.1的80流量操作命令(...
NetfilterMangle机制
瑞风轻拂
12-21 2882
Mangle是一个比较容易被人忽略的机制,而且Mangle的使用机会并不是很多,但如果需要时又不懂Mangle机制,也是件很麻烦的事,在此还是要说明一下Mangle机制。 Mangle通过标记特定的IP数据流后,为Filter、NAT和、路由、Queue提供标记后的IP数据流。 Mangle特点 不管是QoS、防火墙、nat规则和路由,在许多特殊的应用中都会使用Man
iptables深入解析-mangle
weixin_34107739的博客
08-08 2425
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
Garcke_Product-Sentiment-on-the-Bertopic-Model_23212_1765654073655.zip
12-15
Garcke_Product-Sentiment-on-the-Bertopic-Model_23212_1765654073655.zip
使用电感耦合的无人机动态无线充电-Dynamic Wireless Charging for (UAV) using Inductive Coupling
最新发布
12-15
演示了为无线无人机电池充电设计的感应电力传输(IPT)系统 Dynamic Wireless Charging for (UAV) using Inductive Coupling 模拟了为无人机(UAV)量身定制的无线电力传输(WPT)系统。该模型演示了直流电到高频交流电的转换,通过磁共振在气隙中无线传输能量,以及整流回直流电用于电池充电。 系统拓扑包括: 输入级:使用IGBT/二极管开关连接到全桥逆变器的直流电压源(12V)。 开关控制:脉冲发生器以85 kHz(周期:1/85000秒)的开关频率运行,这是SAE J2954无线充电标准的标准频率。 耦合级:使用互感和线性变压器块来模拟具有特定耦合系数的发射(Tx)和接收(Rx)线圈。 补偿:包括串联RLC分支,用于模拟谐振补偿网络(将线圈调谐到谐振频率)。 输出级:桥式整流器(基于二极管),用于将高频交流电转换回直流电,以供负载使用。 仪器:使用示波器块进行全面的电压和电流测量,用于分析输入/输出波形和效率。 模拟详细信息: 求解器:离散Tustin/向后Euler(通过powergui)。 采样时间:50e-6秒。 4.主要特点 高频逆变:模拟85 kHz下IGBT的开关瞬态。 磁耦合:模拟无人机着陆垫和机载接收器之间的松耦合行为。 Power GUI集成:用于专用电力系统离散仿真的设置。 波形分析:预配置的范围,用于查看逆变器输出电压、初级/次级电流和整流直流电压。 5.安装与使用 确保您已安装MATLAB和Simulink。 所需工具箱:必须安装Simscape Electrical(以前称为SimPowerSystems)工具箱才能运行sps_lib块。 打开文件并运行模拟。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值