网关的SNAT与DNAT的详细原理介绍以及配置

于 2025-06-07 19:18:07 发布
阅读量575 收藏 4
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 智能硬件之路 文章标签: 网络 SNAT DNAT 网关配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/start_up_go/article/details/148499454

SNAT原理与配置

SNAT(Source Network Address Translation)用于修改数据包的源IP地址,通常应用于内网设备访问外网的场景。其核心原理是将内网私有IP地址转换为公网IP地址,实现对外通信。

原理

  • 当内网主机发送数据包时,网关识别到该数据包需转发至外网,自动将源IP替换为网关的公网IP。
  • 回包时,网关根据NAT表将目标IP还原为内网私有IP,完成数据返回。

配置示例(Linux iptables)

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 203.0.113.1

关键参数

  • -s 192.168.1.0/24:匹配内网子网。
  • -o eth0:指定外网接口。
  • --to-source 203.0.113.1:替换为公网IP。

DNAT原理与配置

DNAT(Destination Network Address Translation)用于修改数据包的目标IP地址,通常用于外网访问内网服务的端口映射。

原理

    了解本专栏 订阅专栏 解锁全文
    SNATDNAT的基本概念配置
    F2001523的博客
    11-22 1874
    文章目录一、SNAT策略概述二、DNAT概述三、SNATDNAT配置 一、SNAT策略概述 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 企业内部的主机A想访问互联网上的主机C,首先将请求数据包(源:ipA,目标:ipC)发送到防火墙所在主机B,B收到后将数据包源地址改为本机公网 网卡的ip(源:ipA,目标:ipB),然后经互联网发送给C;C收到后将回应包(源:ipC,目标:ipB)转发给C的路由器,经互联网将回应包转发给B
    Linux防火墙——iptables之SNATDNAT详细讲解
    橘子的博客
    05-11 757
    系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例
    SNAT源地址转换基本概念以及应用
    江晓龙的博客
    07-11 2231
    所谓的SNAT源地址转换的意思指的是修改数据包中的源地址信息,典型的应用场景就是带动局域网主机上网,如下图所示,公司有很多台电脑,都需要上网,这时就可以在防火墙中配置一个SNAT地址转换,某个网段进入防火墙后通过SNAT修改源地址信息,修改为防火墙的公网地址,由防火墙去互联网环境中请求数据,最后返回给公司电脑,带动局域网上网。SNAT源地址转换的应用场景:SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的源地址
    防火墙之地址转换SNAT DNAT
    热门推荐
    chengxuyuanyonghu的专栏
    03-21 3万+
    防火墙之地址转换SNAT DNAT 一、SNAT源地址转换。 1、原理:在路由器后(PSOTROUTING)将内网的ip地址修改为外网网卡的ip地址。 2、应用场景:共享内部主机上网。 3、设置SNAT网关主机进行设置。  (1)设置ip地址等基本信息。  (2)开启路由功能:  sed -i '/ip-forward/s/0/1/g'
    【linux防火墙】设置开启路由转发,SNATDNAT转换原理及应用实操,添加自定义链归类iptables规则
    liu_xueyin的博客
    11-30 1991
    #指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链中,作用到源ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略。
    Linux性能优化实战:案例篇-如何优化 NAT 性能?(上)(41)
    weixin_30235225的博客
    09-20 374
    一、上节回顾 上一节,我们探究了网络延迟增大问题的分析方法,并通过一个案例,掌握了如何用hping3、tcpdump、Wireshark、strace 等工具,来排查和定位问题的根源。 简单回顾一下,网络延迟是最核心的网络性能指标。由于网络传输、网络包处理等各种因素的影响,网络延迟不可避免。但过大的网络延迟,会直接影响用户的体验。 所以,在发现网络延迟增大的情况后,你可以先从路由、...
    SNAT(源地址转换)、DNAT(目的地址转换)
    sunrj_niu的博客
    03-26 5215
    SNAT策略只能用在nat表的POSTROUTING链,使用iptables编写SNAT策略时,需要结合–to-source IP地址来指定修改后的源地址。无论使用哪种类型的地址转换,防火墙主机一定要开启IP转换的功能。 2.源地址转换:通过SNAT源地址转换实现共享上网 如上图所示,公司网段192.168.10.0想要通过防火墙公网地址上网,当数据包进入防火墙时修改源地址信息,公司电脑通过防火墙去上网,会经过的链路有PREROUTING、FORWARD、POSTROUTING,通过防火墙出去修改源地址,很
    精选资源
    VMware之SNATDNAT.docx
    01-03
    虽然这里没有详细介绍具体的配置命令,但理解 SNATDNAT 的基本原理对于日常运维和故障排查至关重要。理解了这两种技术,就能更好地管理和优化虚拟机的网络通信,提高网络效率和安全性。 总之,SNATDNAT 是 ...
    防火墙中的SNAT DNAT
    2301_81307988的博客
    03-13 1299
    总结起来,这条规则的效果是:所有发往公网IP地址12.0.0.254且目标端口为80的TCP数据包,在到达本地主机并准备转发到内部网络之前,其目标IP地址都会被转换成192.168.68.4。随后,在虚拟机上面的外网服务器去curl一下12.0.0.1,curl12.0.0.1出现的是内网服务器的网页内容,表明去连外网网关,就等于访问内网服务器。目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映射。
    iptables防火墙之SNATDNAT策略及应用
    weixin_62466637的博客
    01-03 1310
    目录 一、SNAT原理及应用 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 实现方法 1.4.1 编写SNAT转换规则 1.4.2路由转发开启方式 SNAT转换 二、DNAT策略概述 2.1 DNAT策略的典型应用环境 2.2 DNAT策略的原理 2.3 DNAT策略的应用 2.4 实现方法 编写DNAT转换的规则 三、防火墙规则的备份和还原 3.1 导出(备份)所有表的规则 3.2 导入(还原)规则 一、SNAT原理及应用 ..
    Linux之路由转发和SNAT的应用
    qq_62462797的博客
    09-15 1262
    SNAT又称源地址转换。源地址转换是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。真实环境运用中私网可以通过路由转发,将数据包传送给公网IP地址的服务器,而公网地址无法将相应的数据包回还给私网地址的用户。此时二者之间需要一个媒介,就是一个建立在私网和公网之间的网关服务器,对其之间的数据包进行相应的处理。
    Linux防火墙iptables学习笔记6
    CCH2024的专栏
    06-12 732
    Linux防火墙学习笔记
    SNATDNAT
    keisena的博客
    11-26 642
    SNAT概述 SNAT(出站) 出站是内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络SNAT策略的典型应用范围: 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理: 源地址转换, 修改数据包的源地址 SNAT在防火墙上应用的策略 iptables -t nat -A POSTROUTING -s 192.168.4
    Linux防火墙2
    YCyjs的博客
    07-31 1627
    SNAT 应用环境局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由),私转公SNAT原理:源地址转换,根据指定条件,通常被叫做SNAT转换前提条件:1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址2.Linux网关开启IP路由转发。
    CentOS服务器配置SNAT网关
    小猿童鞋
    10-16 464
    在项目中多机集群部署服务,为保障集群环境中的所有服务器能够正常访问外网,并节省公网IP资源。现利用一个公网IP资源来作为集群环境下的统一出口IP,实现在一个公网IP的情况下保证集群中的所有服务器都能正常访问互联网。
    关于SNATDNAT及浮动地址, 正向代理、反向代理
    roshy的专栏
    12-27 1119
    在。
    iptables中的SNATDNATFirewalld
    hy199707的博客
    03-05 1490
    网络世界中,IP地址就如同现实世界中的门牌号码,它为数据包指明了方向。然而,在某些情况下,出于安全、资源优化或网络拓扑的需要,我们必须对这些“门牌号码”进行变换。这就涉及到了网络地址转换(Network Address Translation, NAT)技术,而在Linux环境中,实现NAT功能的主要工具就是iptables。本文将深入探讨iptables中的两种核心NAT类型——源网络地址转换(Source Network Address Translation, SNAT)和目标网络地址转换(Dest
    iptables 防火墙(二)
    IT_zhangsan
    12-13 1151
    随着 Internet网络在全世界范围内的快速发展,IPv4协议支持的可用IP地址资源逐渐变少,资源匮乏使得许多企业难以申请更多的公网 IP地址,或者只能承受一个或者少数几个公网 IP地址的费用。而此同时,大部分企业面临着将局域网内的主机接入Internet的需求通过在网关中应用 SNAT 策略,可以解决局域网共享上网的问题。下面以一个小型的 企业网络为例。Linux网关服务器通过两块网卡ens33ens37分别连接Internet和局域网, 如图 3.1。
    Linux防火墙iptables之SNATDNAT
    m0_51160032的博客
    11-02 4841
    目录 一、SNAT策略及应用 1.1SNAT策略概述 1.2开启SNAT的命令 1.2.1临时打开 1.2.2永久打开 1.3SNAT转换1:固定的公网IP地址 1.4SNAT转换2:非固定的公网IP地址(共享动态IP地址) 1.5SNAT案例 1.5.1实验准备 1.5.2 配置网关服务器(192.168.100.100/12.0.0.1)的相关配置 1.5.2 配置内网服务器(192.168.100.102)相关配置 1.5.3 配置外网服务器(12.0.0.100)的相关配置
    SNATDNAT
    最新发布
    08-05
    SNATSource Network Address Translation,源网络地址转换)和 DNAT(Destination Network Address Translation,目的网络地址转换)是网络地址转换(NAT)技术中的两种主要形式,它们在网络通信中扮演着不同的角色。 SNAT主要用于内部网络访问外部网络时的情况,它将数据包的源IP地址转换为另一个IP地址,通常是公网IP地址。这种转换使得多个内部设备可以共享一个或一组公网IP地址来访问互联网,从而节省了有限的IPv4地址资源,并提高了网络的安全性。例如,在一个使用私有IP地址的局域网中,当一台主机想要访问互联网上的服务时,其发出的数据包的源地址会被网关路由器上的SNAT功能转换成公网IP地址。这样,外部的服务端看到的请求来源就是这个公网IP地址,而不是内部主机的实际私有地址。配置SNAT策略可以通过命令如`iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2`来实现[^5]。 DNAT则相反,它处理的是从外部网络到内部网络的流量,通过修改数据包的目的IP地址,将原本发送给公网IP地址的数据包重定向到内网中的特定主机上。这在需要向外部用户提供服务时非常有用,比如提供Web服务或者FTP服务等。假设有一个位于内网的服务服务器,其私有IP地址为192.168.100.77,而网关路由器拥有公网IP地址172.16.16.254。当外部客户端尝试连接该服务时,它们实际上是向网关的公网IP地址发起请求。此时,网关会利用DNAT技术将这些请求的目标地址转换为内部服务器的私有地址,确保流量能够正确送达至内部的服务主机。此外,DNAT还支持端口转发,允许对外隐藏内部服务的实际端口号[^4]。 两者之间的区别在于作用方向和服务目的的不同:SNAT关注于改变外出数据包的源地址以实现内部网络对外部网络的访问;而DNAT则是调整进入数据包的目标地址,以便让外部用户能够访问到内部网络中的服务。两者共同构成了完整的NAT机制,对于构建安全、高效的网络环境至关重要。 网络地址转换的工作原理基于对IP数据包头部信息的修改。每当数据包穿越执行NAT功能的设备时,无论是出站还是入站流量,都会根据预设规则检查并可能更改相应的地址字段。对于SNAT来说,这意味着更新数据包的源地址;而对于DNAT,则是更新目标地址。这一过程通常伴随着端口号的变化,尤其是在PAT(Port Address Translation)模式下,即所谓的“多对一”映射场景,其中不仅IP地址被转换,连同端口号也会被重新分配以区分不同的内部连接[^1]。 为了更直观地展示SNATDNAT的应用,下面分别给出简单的示例代码片段,演示如何使用iptables命令行工具配置基本的SNATDNAT规则。 ### SNAT配置示例 ```bash # 假设内部网络接口为eth1,公网接口为eth0 # 将所有来自192.168.1.0/24网段的流量的源地址转换为eth0接口的公网IP iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE ``` ### DNAT配置示例 ```bash # 假设公网接口为eth0,希望将所有到达eth0接口80端口的流量转发给内部Web服务器192.168.1.100的80端口 iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80 ``` 以上命令仅作为基础示例,实际部署时需根据具体的网络环境和需求进行调整。同时,还需要确保相关的防火墙规则允许相应的流量通过,并且正确设置了路由路径。
    评论
    成就一亿技术人!
    拼手气红包6.0元
    还能输入1000个字符
     
    红包 添加红包
    表情包 插入表情
    表情包 代码片
     条评论被折叠 查看
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包

    打赏作者

    start_up_go

    你的鼓励将是我创作的最大动力

    ¥1 ¥2 ¥4 ¥6 ¥10 ¥20
    扫码支付:¥1
    获取中
    扫码支付

    您的余额不足,请更换扫码支付或充值

    打赏作者

    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值