iptables防火墙之SNAT与DNAT

最新推荐文章于 2024-05-22 17:25:41 发布
原创 最新推荐文章于 2024-05-22 17:25:41 发布 · 611 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux

本文介绍了SNAT和DNAT策略在Linux环境下的应用,包括SNAT的工作原理、配置命令以及示例,DNAT的用途和转换条件,同时提到了防火墙规则的备份和还原,以及Linux系统的抓包工具tcpdump的使用方法。

目录

1、SNAT策略概述

   1.SNAT策略的典型应用环境

   2.SNAT策略的原理

   3.SNAT工作原理

   4.SNAT转换前提条件

  5.开启SNAT命令

  6.SNAT转换

2.SNAT示例

 1.  配置网关服务器

 2.Xshell 连接192.168.100.100

3.DNAT策略及应用

1. DNAT策略概述

2.DNAT 策略的应用

3.DNAT转换前提条件

4.防火墙规则的备份和还原

5.Linux抓包

1、SNAT策略概述

   1.SNAT策略的典型应用环境

      1.局域网主机共享单个公网IP地址接入Internet.

   

   2.SNAT策略的原理

        1.源地址转换,Source Network Address Translation;

        2.有修改数据包的源地址.

  3.SNAT工作原理

    (1)数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP;

    (2)当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP。

  4.SNAT转换前提条件

    (1)局域网各主机已正确设置IP地址、子网掩码、默认网关地址;

     (2)Linux网关开启IP路由转发。

5.开启SNAT命令

   1.临时打开

echo 1 > /proc/sys/net/ipv4/ip_forward
或者
sysctl -w net.ipv4.ip_forward=1

   2.永久打开

vim /etc/ sysctl. conf
net. ipv4.ip_ forward=1  #将此行写入配置文件
 
sysctl -p			   #读取修改后的配置

6.SNAT转换

iptables -t nat -A POSTROUTING -s 192.168.156.0/24 -o ens33 -i SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.156.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
										内网IP		出站 外网网卡						外网IP或地址池

2.SNAT示例

 1.  配置网关服务器

   1、添加一张外网网卡网段为12.0.0.0/24

查看真机的网段与 虚拟机所设网段是否一致 

 

2.修改ens33网卡信息,注释网关和DNS,修改IP地址为192.168.100.100

[root@localhost ~]# systemctl stop firewalld.service 
[root@localhost ~]# setenforce 0
[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33

3.修改ens36网卡信息,注释网关和DNS,修改IP地址为12.0.0.1 

 

4.重启网卡

 

2.Xshell 连接192.168.100.100

设置永久打开SNAT       sysctl -p 读取修改后的配置

 

 

清空规则  iptables -F

配置SNAT策略,实现snat功能,将所有192.168.100.0网段的ip的源ip改为10.0.0.1

 

3.DNAT策略及应用

        DNAT 是 Linux 防火墙的另一种地址转换操作,同样也是 iptables 命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的目标IP地址和目标端口。

1. DNAT策略概述

   DNAT 策略与 SNAT 非常相似,只不过应用方向相反。

     SNAT 用来修改源 IP 地址,而 DNAT 用来修改目标 IP 地址和目标端口;SNAT 只能用在 nat 表的 POSTROUTING 链中,而 DNAT 只能用在 nat 表的 PREROUTING 链和 OUTPUT链(或被其调用的链)中。

     在 Internet 环境中,企业所注册的网站域名必须对应合法的公网 IP 地址,在这种情况下,Internet 中的客户机将无法访问公司内网的服务器,除非在网关服务器中正确设置 DNAT 策略使用 DNAT 策略的效果如下:当 Internet 中的客户机提交的 HTTP 请求到达企业的网关服务器时,网关首先判断数据包的目标地址和目标端口,若发现该数据包需要访问本机的 80 端口,则将其目标 IP 地址修改为内网中真正的网站服务器的 IP 地址,然后才发送给内部的网站服务器上述 DNAT 转换地址的过程,网关服务器会根据之前建立的 DNAT 映射,修改返回的 HTTP 应答数据包的源 IP 地址,最后再返回给 Internet 中的客户机,Internet 中的客户机并不知道企业网站服务器的真实局域网地址,中间的转换完全由网关主机完成。

2.DNAT 策略的应用

       DNAT 的典型应用是在 Internet 中发布企业内部的服务器,处理数据包的切入时机是在路由选择之前(PREROUTING)进行。
       关键操作是将访问网关外网接口 IP 地址(公有地址)的数据包的目标地址修改为实际提供服务的内部服务器的 IP 地址(私有地址)使用 iptables 命令设置 DNAT 策略时,需要结合 “- -to-destination IP地址” 选项来指定内部服务器的 IP 地址。

3.DNAT转换前提条件

  1. 局域网的服务器能够访问Internet;
  2. 网关的外网地址有正确的DNS解析记录;
  3. Linux网关开启IP路由转发。
vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1 
sysct1 -p

1.DNAT转换1∶ 发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.100.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.100.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.100.11
							 入站|外网网卡 | 外网ip											内网服务器ip

iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.100.11-192.168.100.20

2.DNAT转换2∶ 发布时修改目标端口

#发布局域网内部的OpenSSH服务器, 外网主机需使用250端口进行连接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250-jDNAT --to 192.168.100.11:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools 		#若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33

注意∶ 使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回 小知识扩展∶

主机型防火墙 主要使用 INPUT、oUTPUT 链, 设置规则时一般要详细的指定到端口;
网络型防火墙 主要使用 FORWARD链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可。

4.防火墙规则的备份和还原

  1.导出 (备份)所有表的规则

iptables-save > /opt/ipt.txt

2.导入(还原)规则

iptables-restore < /opt/ipt.txt

3.将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则 iptables-save >/etc/sysconfig/iptables

systemctl stop iptables		#停止iptables服务会清空掉所有表的规则 				
systemctl start iptables		#启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则

5.Linux抓包

tcpdump tcp-i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.156.0/24 -w ./target.cap

(1)tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型;
(2)-i ens33 ∶只抓经过接口ens33的包;
(3)-t ∶不显示时间戳;
(4)-s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包;
(5)-c 100 ∶只抓取100个数据包;
(6)dst port ! 22 ∶不抓取目标端口是22的数据包;
(7)src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机;
(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。

shanjun12
关注
iptablesSNATDNAT配置
qq_43094622的博客
06-27 1240
实验环境: 主机:Windows 10 20H2 虚拟机:Windows XP SP3,Ubuntu 16.04 网络连接:Ubuntu采用双网卡(NAT网络+内部网络),提供服务的WinXP采用内部网络,充当外网访问的WinXP采用NAT网络。 实验设计: Ubuntu虚拟机模拟一台具有双网络接口的路由器,实现防火墙功能;WinXP虚拟机模拟内网计算机,提供http和ftp服务。Ubuntu虚拟机的外网网卡通过NAT共享主机网络,内网网卡通过内部网络WinXP联系。两台WinXP虚..
Linux系统之iptables应用SNATDNAT
rmh0713的博客
03-14 1261
④IP地址的要求:pc1为192.168.170.111网关为192.168.170.113,pc2的网关的ens33网卡地址为192.168.170.0/24网关为192.168.170.0 ens36为12.0.0.1/24不需要网关,pc3为12.0.0.100/24网关为12.0.0.1。为了保护公司业务服务器安全,业务服务器在私网中,从公网访问的用户只能通过nat为服务器的私网网关地址才可访问。当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP。
iptables防火墙SNATDNAT
Hard work results, technology is willing to dream
02-10 1661
iptables防火墙SNATDNAT
iptablesDNAT配置方法
weixin_30518397的博客
01-19 508
转载自:http://blog.youkuaiyun.com/bill_lee_sh_cn/article/details/4401896 1.一对一流量完全DNAT 首先说一下网络环境,普通主机一台防火墙用,网卡两块 eth0 192.168.0.1 内网 eth1 202.202.202.1 外网 内网中一台主机 192.168.0.101 现在要把...
iptables 防火墙SNATDNAT
2401_83786744的博客
05-22 1188
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 不抓取端口是22的数据包。
防火墙SNATDNAT
FYR1018的博客
05-10 1996
1 SNAT 原理应用1.1 SNAT 应用环境和策略的原理1.2 SNAT 工作原理1.3 SNAT 转换前提条件1.4 路由转发开启方式1.5 SNAT转换1.6 小知识扩展2 SNAT 案例3 DNAT 原理应用3.1 DNAT 应用环境3.2 DNAT 策略原理3.3 DNAT 转换前提条件3.4 DNAT转换4 DNAT案例5.1 防火墙规则的备份和还原5.2 tcpdump---Linux抓包 监听网络流量命令
iptablesSNATDNAT
qq_45088125的博客
05-17 3657
文章目录一、SNAT策略及应用1、SNAT策略概述1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2、开启SNAT命令3、SNAT案例 一、SNAT策略及应用 1、SNAT策略概述 1.1 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) 1.2 SNAT策略的原理 源地址转换,根据指定条件修改数据包的源IP地址,通常被叫源映射。 1.3 SNAT转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发
[计算机网络]十三、配置iptables防火墙SNATDNAT的策略及应用、使用layer7应用层过滤功能)
m0_48638643的博客
04-09 2198
1、iptables和firewalld iptables是之前centos6用的防火墙规则命令,而firewalld是centos7和8使用的命令。当然在centos7和8中这两个规则命令都能够使用。firewalld底层调用的命令仍是iptables
iptables 防火墙(二)——SNATDNAT
Katie_ff的博客
06-12 1955
SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址就是把内网地址转成指定的IP地址,这个iP地址可以访问公网。
iptables中的snatdnat配置技术文档
Gengchenchen的博客
01-03 3770
文章目录(一)、snat实验: 首先需要弄清楚snatdnat的区别: 从定义来讲它们一个是源地址转换(snat),一个是目的地址转换(dnat)。都是地址转换的功能,将私有地址转换为公网地址。 要区分这两个功能可以简单的由连接发起者是谁来区分: SNAT:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。 DNAT:当内部需要提供
firewalld的路由转发功能(snatdnat
Coastline98的博客
05-02 3207
因为自己在配置时出现一些莫名其妙的问题,如ping不通,理由转发不成功等; 环境准备:3台主机,提前下载好httpd服务 关闭防火墙systemctl stop firewalld setenforce 0 systemctl status firewall 确认为dead getenforce 查看确认为disabled 1.主机1:提前下载好httpd,配置网卡为仅主机模式 认为该主机是内网主机 在实际生产工作中大部分看到的ip地址一般只到网段,这部分即可确认地区城市..........
Firewalld,iptables概述(netfilter和Firewalld,iptables三者之间的关系,四表五链,Firewalld防火墙配置方发,SNAT,DNAT了解)
weixin_47151717的博客
08-03 1313
文章目录Firewalld,iptables概述Firewalld了解iptables了解Firewalld和iptables的关系netfilterFirewalld、iptablesnetfilter和Firewalld,iptables三者之间的关系Firewalld和iptables的区别Netfilteriptables区别四表五链iptables的表,链规则链默认包含5种规则规则表默认包括4个规则表数据包的过滤的匹配流程规则表之间的顺序规则链之间的顺序iptables语法格式常用参数常用的
iptables 防火墙(二)SNAT/DNAT
A1100886的博客
05-22 1315
SNAT:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
iptablesSNATDNAT
最新发布
03-08
<think>好的,我现在需要给用户介绍一下iptables中的SNATDNAT。首先,我得回忆一下自己对这两个概念的理解,确保没有混淆。SNAT是源地址转换,DNAT是目的地址转换,对吗?对的,我记得SNAT主要用于当内部网络的主机访问外部网络时,修改源IP地址,通常是用来共享一个公网IP出口。而DNAT则是当外部网络的主机访问某个公网IP的特定端口时,将其转发到内部网络的某个服务器上,比如端口映射。 接下来,我需要考虑用户可能的背景。用户可能对iptables有一定了解,但需要明确区分这两个NAT类型,或者是在配置网络时遇到了问题。需要从基本概念入手,解释两者的用途和典型应用场景,同时给出实际例子,这样用户更容易理解。 需要确认SNATDNATiptables中的具体应用链。SNAT一般用在POSTROUTING链,而DNAT用在PREROUTING链。这是因为SNAT是在路由之后修改源地址,而DNAT是在路由之前修改目标地址,确保数据包能正确路由到内部主机。 同时,应该提到MASQUERADE,这是SNAT的一种特殊形式,适用于动态IP的情况,比如拨号上网。而DNAT常用于将外部请求转发到内部的Web服务器或SSH服务器。 还要注意语法格式,比如SNAT的--to-source和DNAT的--to-destination,以及相应的端口映射示例。比如,将外部的80端口请求转发到内网服务器的8080端口。 可能会遗漏一些细节,比如conntrack模块的作用,或者需要开启IP转发功能(net.ipv4.ip_forward=1)。这些虽然不是核心概念,但对于实际配置成功很重要,应该提到。 用户可能想知道什么时候用SNAT,什么时候用DNAT,所以需要明确两者的区别:SNAT改的是发出数据包的源地址,DNAT改的是接收数据包的目标地址。典型的SNAT用例是让多个内网设备通过一个公网IP上网,而DNAT用于从外部访问内网服务。 最后,结构要清晰,分点解释,给出示例命令,并总结两者的区别和常见应用场景,这样用户能快速抓住重点。</think>**iptablesSNATDNAT详解** **1. 核心概念对比** - **SNAT(Source NAT)** - 作用:修改数据包源地址 - 典型场景:内网设备共享公网IP访问互联网 - 生效阶段:`POSTROUTING`链(路由决策之后) - 特点:需指定固定IP(如 `--to-source 202.96.128.5`) - **DNAT(Destination NAT)** - 作用:修改数据包目标地址 - 典型场景:公网访问内网服务器 - 生效阶段:`PREROUTING`链(路由决策之前) - 特点:支持端口映射(如 `--to-destination 192.168.1.10:8080`) **2. 配置示例** ```bash # SNAT示例(静态IP环境) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 202.96.128.5 # SNAT动态IP场景(ADSL拨号) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE # DNAT端口映射(外部80转内部8080) iptables -t nat -A PREROUTING -d 202.96.128.5 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:8080 ``` **3. 关键实现原理** - **连接跟踪机制**:依赖`conntrack`模块记录NAT前后的连接状态 - **双向地址转换**:自动处理响应数据包的逆向转换 - **路由决策时机**: - DNAT在路由前修改目标地址,影响后续路由路径 - SNAT在路由后修改源地址,保证出站路径正确 **4. 典型应用场景** - SNAT常见用途: - 企业内网共享上网 - 多服务器负载均衡出口 - 隐藏真实客户端IP - DNAT常见用途: - 家庭宽带映射游戏服务器 - 云服务器端口转发 - 反向代理后端服务 **5. 必要系统配置** ```bash # 启用IP转发(永久生效需修改/etc/sysctl.conf) echo 1 > /proc/sys/net/ipv4/ip_forward ``` **6. 流量路径示意图** ``` 外部访问DNAT流程: 互联网 → 防火墙PREROUTING(DNAT) → 路由决策 → 内网服务器 内部访问SNAT流程: 内网主机 → 路由决策 → 防火墙POSTROUTING(SNAT) → 互联网 ``` **7. 诊断命令** ```bash # 查看NAT表规则 iptables -t nat -nvL --line-numbers # 监控NAT连接状态 conntrack -E ``` **注意**:实际部署时需同步考虑安全策略,建议
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值