计算机网络 day10 DNAT问题 - 堡垒机 - WLAN

原创 已于 2023-07-19 11:18:57 修改 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#计算机网络 #linux #服务器

于 2023-07-18 22:03:33 首次发布
文章详细阐述了DNAT在路由转发中的作用,解释了防火墙服务器如何通过DNAT策略将外部请求映射到内网Web服务器的特定端口,以及如何通过堡垒机和SNAT、MASQUERADE策略实现安全的远程访问。同时,讨论了DNAT策略在网关服务器自身访问内网服务时的问题,以及如何处理重启后策略失效的情况。

目录

DNAT策略拓扑图: 

问题一:当我们访问内网的Web服务的时候,我们防火墙服务器的80端口和Web服务器的8000端口是否需要一直调用程序监控呢?

DNAT的作用就是可以帮助我们进行路由转发功能

问题二:当我们在继续DNAT实验的时候,Web服务器和firewall网关服务器的LAN口都采用的是hostonly模式,我们如何在不使用Windows的Vmnet1网卡(hostonly模式)而使Windows上的Xshell连接上Web服务器呢?

因此我们可以得知,我们可以通过不同的端口号发布内网不同的服务器(如Mysql、redis、nginx等)

DNAT策略配置文件:

问题三:为什么当我们完成DNAT实验后,外网的机器能通过firewall网关服务器访问我们的Web服务器的网页,但是我们自己的firewall网关服务器不能访问Web客户机的网页呢?

问题四:配置完SNAT和DNST规则后,如果我们对firewall网关服务器进行重启,SNAT和DNST策略会失效,我们应该如何解决呢?

步骤:

堡垒机和跳板机

堡垒机和跳板机的作用:

推荐使用:JumpServer - 开源堡垒机 - 官网

堡垒机/跳转机策略拓扑图:

MASQUERADE(与SNAT同等效果的MASQUERADE策略(伪装))

MASQUERADE策略的配置:

查看配置:

无线信号弱 --》导致传输的速度会减慢 --》网速变慢

三创无线网络部署拓扑图:

DNAT策略拓扑图: 

问题一:当我们访问内网的Web服务的时候,我们防火墙服务器的80端口和Web服务器的8000端口是否需要一直调用程序监控呢?

当我们使用A机器访问Web服务器的时候,访问的网址是http://192.168.1.254:80,它(A)访问的是我们防火墙服务器WAN口网卡的80端口,防火墙服务器会帮助我们将它的访问映射到我们Web服务器(内网)的8000端口,防火墙服务器采取的是DNAT策略,它会帮助我们将数据映射到192.168.2.80:8000去,因此我们内网的机器(Web服务器)必须监听8000端口,但是我们的防火墙服务器不需要去监听80端口,因为当A机器发送数据包的时候,我们的防火墙服务器会去检查它发送的数据包内TCP的封装,了解它的目的端口是多少防火墙服务器并不会提供一个服务去监听80端口,它只需要知道目的端口是80就可以了),如果是80,它就会自动启用iptables内设定的DNAT策略去转发数据包给Web服务器的8000端口。

DNAT的作用就是可以帮助我们进行路由转发功能

问题二:当我们在继续DNAT实验的时候,Web服务器和firewall网关服务器的LAN口都采用的是hostonly模式,我们如何在不使用Windows的Vmnet1网卡(hostonly模式)而使Windows上的Xshell连接上Web服务器呢?

Web服务器不使用Windows的vmnet1网卡(hostonly模式),如何才能连接到内网使Windows上的Xshell连接上Web服务器呢?也许我们可以通过设置firewall网关服务器DNAT策略实现,我们通过在firewall网关服务器上配置端口2234(随机端口)Web服务器的22号端口产生映射关系(DNAT策略),我们通过Windows访问firewall的2234端口即可访问Web服务器的22号端口(SSH协议),就能通过Xshell连接上Web服务器。

因此我们可以得知,我们可以通过不同的端口号发布内网不同的服务器(如Mysql、redis、nginx等)

DNAT策略配置文件:

[root@router nat]# cat snat_dnat.sh 
#!/bin/bash

#enable  routing
echo 1 >/proc/sys/net/ipv4/ip_forward

############# stop firewall and clear iptables rule
service firewalld  stop

iptables -F
iptables -t nat -F

###########enable snat
iptables -t nat  -A POSTROUTING  -s 192.168.91.0/24  -o ens33  -j SNAT  --to-source  192.168.2.138
###########enable dnat
iptables -t nat  -A PREROUTING   -d 192.168.2.138 -i ens33  -p tcp  --dport 80  -j DNAT  --to-destination 192.168.91.80:8000

#open ssh 2233 --->192.168.91.80 22
iptables  -t nat -A PREROUTING   -d  192.168.2.138  -i ens33  -p tcp  --dport 2233 -j DNAT  --to-destination 192.168.91.80:22

# expose  mysql
iptables  -t nat -A PREROUTING   -d  192.168.2.138  -i ens33  -p tcp  --dport 33060 -j DNAT  --to-destination 192.168.91.81:3306

#EXPOSE  redis
iptables  -t nat -A PREROUTING   -d  192.168.2.138  -i ens33  -p tcp  --dport 6397 -j DNAT  --to-destination 192.168.91.83:6397

[root@router nat]#
最低0.47元/天 解锁文章
Claylpf
关注
网关堡垒机设计方案
zongyimin的博客
05-22 2084
堡垒机设计方案 网关型堡垒机: 网关型的堡垒机部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。 堡垒机要求:4核cup  10G 内存  硬盘100G  W
【docker系】iptables --wait -t nat -A DOCKER -p tcp -d 0/0 --dport 18086 -j DNAT --to-destination
run_boy_2022的博客
03-16 397
docker在防火墙关闭情况下,重启容器后发生的异常
堡垒机拓扑图_通过堡垒机连接内网服务器
weixin_39540834的博客
12-20 3465
堡垒机简要说明:* 真正的服务器不允许 ssh 直接连接,需要通过堡垒机进行连接* 堡垒机只允许建立隧道,不能登录系统* 连接真实服务器的网络拓扑:1. SSH Client -> Castle (make local tunnel)2. SSh Client -> local tunnel -> Real Server堡垒机主机信息:主机: IP端口: port协议: SSH ...
开源堡垒机接入拓朴图-麒麟开源堡垒机
weixin_34342578的博客
04-08 846
接入拓扑麒麟堡垒机接入方式为物理旁路、连接串行方式,堡垒机上线后,为了实现SSO和审计功能,要求所有的运维人员的运维操作都必须经过堡垒机,因此,运维人员操作方式会有所改变,运维人员使用堡垒机方式主要包括WebPortal方式和工具直接登录方式二种。麒麟堡垒机接入方式为物理旁路、连接串行方式,堡垒机上线后,为了实现SSO和审计功能,要求所有的运维人员的运维操作都必须经过堡垒机,...
堡垒机拓扑图_fanzhenlong/堡垒机部署方案总结.md at master · leadsino/fanzhenlong · GitHub...
weixin_31474035的博客
01-12 3235
一、单活部署(热备HA)对于中小型企业客户,内部资产数量相对较少,单台堡垒机的性能就可以满足时(图形200,字符1000),就可以在客户网络中接入一台堡垒机进行审计。但是对于运维的连续性又有要求,不期望由于堡垒机的异常故障导致正常运维任务中断太长,可以部署热备保证系统的高可用性,避免单机故障引起的正常运维中断。设备数量:至少2台。部署拓扑图部署方式:物理旁路,逻辑网关。保证高可用,采用双机热备。...
网络拓扑入门
那一片天的专栏
12-28 6696
1.介绍 当我们做渗透测试时,这是一个了解其整个网络拓扑结构的大好机会。因为平时我们没有这个内部网络的访问管理权限,所以除了做渗透测试之外的时候,我们不能掌握整个拓扑结构,然而即便是了解了一部分拓扑结构,也会让你觉得很有成就感。 但是,如果我们想要画出一个网络拓扑图,我们必须要对相关的基本设施有所掌握。因此,我们需要对以下内容有所了解:交换机、路由器、IDS/IPS、防火墙、虚拟专用网络(VP
精选资源
山石防火墙DNAT-web页面配置.pdf
08-31
山石防火墙DNAT-web页面配置
sudo iptables -t nat -A PREROUTING -p udp --dport 62800 -m statistic --mode nth --every 3 --packet 0 -j DNAT --to-destination 127.0.0.1:52801 sudo iptables -t nat -A PREROUTING -p udp --dport 62800 -m statistic --mode nth --every 3 --packet 1 -j DNAT --to-destination 127.0.0.1:52802 sudo iptables -t nat -A PREROUTING -p udp --dport 62800 -m statistic --mode nth --every 3 --packet 2 -j DNAT --to-destination 127.0.0.1:52803
最新发布
10-28
`sudo iptables -t nat -A PREROUTING -p udp --dport 62800 -m statistic --mode nth --every 3` 这条命令是用于配置网络地址转换(NAT)规则的。 - `sudo`:以超级用户权限执行命令,因为修改防火墙规则通常需要...
计算机网络课程设计---SNAT和DNAT策略
Hiro18的博客
07-26 286
局域网主机共享单个公网ip地址接入internet源地址转换,修改数据包的源地址1.路由器有NAT转换表2.arpingip地址,如果出现了一个IP地址对应了两个mac地址就是冲突了。
堡垒机和防火墙综合项目
weixin_50632042的博客
01-15 1233
通过做这个项目,提升了对于项目的规划整理能力,将计算机网络知识和linux基础命令以及shell脚本的编写融合到一起,提升了故障排除能力,对防火墙和堡垒机的在安全上的使用进一步加深,对ssh进一步熟悉。加固防火墙服务器的ssh服务,修改端口号5566,禁用root用户登录,新建一个专门用户登录防火墙ssh服务的用户fwuser,并且设置密码Sctl@123456。模拟企业里的环境,构建一个防火墙服务器实现内部网络上网,发布内网的web服务和堡垒机,构建堡垒机帮助企业以更安全的方式管控和登录各种类型的资产。
堡垒机/跳板机连接内网服务器
qq_63333972的博客
03-16 5184
实验中需要注意:1.如果配完IP地址以后,一直掉线,可能是IP地址冲突了,可以通过另外一台正常的设备去arping一下,查看具体情况,但是要注意IP地址配置一定要符合规定2.如果加固ssh服务的时候,重启失败可能是因为SElinux没有关闭,可以重新检查关闭SElinux3.如果堡垒机连不上,可能是sshd服务没有开启成功,或者是firewalld没有关闭,iptables规则链不正确,通过查看iptables规则链情况和防火墙开启DNAT和SNAT服务的脚本,注意端口和协议一定不要出错。
跳板机的工作原理和简单的跳板机实现
weixin_30773135的博客
07-19 8482
一、了解跳板机 跳板机(Jump Server),也称堡垒机,是一类可作为跳板批量操作远程设备的网络设备,是系统管理员或运维人员常用的操作平台之一。 跳板机是网络中容易受到侵害的主机,所以跳板机也必须是自身保护完善的主机。通常至少配备两块网卡设备,分别具备不同的网络连接。一个连接外网,用以对目标服务器的远程登录及维护;另一个则连接内网,便于内部网络的管理、控制和保护,通过...
09.计算机网络---网络层/NAT-SNAT-DNAT/跳板机-堡垒机-中控机
weixin_43880061的博客
07-26 1485
NAT是计算机网络中一个非常重要的技术。在学习IP地址划分时,我们曾经学到,当前IPV4的地址的数量并不能够满足人们生活的需要,而全部转为使用IPV6,代价又太高,并且不方便。那么应该如何解决这个问题呢,NAT很好的帮我们解决了这一难题。NAT又可以分为SNAT和DNAT,SNAT使得我们内网的机器可以正常访问外网,而DNAT也使得外网的机器可以访问我们内网的服务器。接下来就让我们详细的了解一下NAT吧。............
网络安全 Day27-运维安全项目-堡垒机部署
qq_44005305的博客
04-13 1238
[在这里插入图片描述](https://img-堡垒机:用于在用户登录网站之前设备或服务,使用堡垒机内部用户所有操作将被记录下来,用于日后做审计,安全审计。
搭建 JumpServer 堡垒机管理数万台游戏服务器
xueshenlaila的博客
07-12 1829
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录1 Jumpserver 堡垒机概述-部署 Jumpserver 运行环境1.1跳板机概述1.2Jumpserver 实验拓扑图1.3初始化系统环境1.4安装 jumpserver 所需相关服务2 jumpserver 平台系统初始化2.1系统基本设置2.2配置邮件发送服务器3 使用 jumpserver 管理王者荣耀数万台游戏服务器3.1用户管理1、添加用户组。2、添加用户3.2编辑资产树添加节点3.3创建管
jumpserver 堡垒机环境搭建(图文详解)
热门推荐
my_bai的博客
03-15 5万+
Jumpserver 是一款由Python编写开源的跳板机(堡垒机)系统,实现了跳板机应有的功能。基于ssh协议来管理,客户端无需安装agent。 特点: 完全开源,GPL授权  Python编写,容易再次开发  实现了跳板机基本功能,认证、授权、审计  集成了Ansible,批量命令等  支持WebTerminal  Bootstrap编写,界面美观  自动收集硬件信息
堡垒机网络信息安全架构图_Jumpserver 堡垒机让“大智慧”的混合 IT 运维更智慧...
weixin_33955740的博客
01-10 502
作者:大智慧 吴守畅| 关于作者吴守畅先生毕业于武汉理工大学计算机专业,具有十年以上证券信息技术行业经验,擅长运维体系架构设计和运维综合管理。吴守畅曾任大智慧运维总监,先后负责大智慧Internet版、大智慧手机版、大智慧数据中心等平台建设与管理工作。2018年开始负责大智慧集团内外部信息系统安全规划与建设工作。前言对于中国的股民来说,“大智慧”是一个广为人知的证券投资服务品牌。作为中国领先的互联...
网络安全等级保护拓扑图大全
weixin_39789796的博客
06-23 2万+
一、整体技术体系架构 产品清单 下一代防火墙、数据库审计、负载均衡、感知平台+(检测探针)、上网行为管理、SSL VPN、信服云眼/信服云盾 日志审计系统、漏洞扫描系统、主机杀毒、运维堡垒机。 二、云平台安全建设拓扑图 三、法院等级保护 四、高校等级保护 五、广播电视等级保护 六、监狱等级保护 七、医院等级保护解决方案 八、医院整体拓扑图 九、等保2.0设备列表 等保2.0设备列表:下一代防火墙(增强级)、下一代防火墙(基础级)、上网行为管理设备(AC)、SSL VPN、数据库审计系统
运维开发之堡垒机(Fortress Machine for Operation and Development)
Linux运维老纪的博客
09-21 942
‌‌堡垒机是一种网络安全设备,用于在信息系统中建立安全防线,保护内部网络不受外部威胁。‌ 它也被称为“跳板机”或“跳板服务器”,主要用于控制网络设备的远程登录和操作,通过切断终端计算机对网络和服务器资源的直接访问,采用协议代理的方式接管终端计算机对网络和服务器的访问。堡垒机的主要功能包括访问控制、账号管理、资源授权和‌安全审计,通过这些功能,堡垒机能够监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。本章详细介绍堡垒机部署
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值