PREROUTING AND POSTROUTING

最新推荐文章于 2024-07-16 17:57:54 发布
最新推荐文章于 2024-07-16 17:57:54 发布
阅读量1.6k 收藏 2
点赞数
文章标签: 防火墙 服务器 internet 路由器 网络 output

Prerouting的作用是数据包刚刚到达防火墙时,改变其目的地址

Postrouting的作用是数据包就要离开防火前之前改变其源地址

PREROUTING:可以在这里定义进行目的NAT的规则,因为路由器进行路由时只检查数据包的目的ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT
POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则

网络接口:
可以使用--in-interface/-i或--out-interface/-o来指定网络接口。从NAT的原理可以看出,对于PREROUTING链,我们只能用-i指定进来的网络接口;而对于POSTROUTING和OUTPUT我们只能用-o指定出去的网络接口

ip映射
假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是伪IP,但是部分用户要求建立自己的WWW服务 器对外发布信息。我们可以再防火墙的外部网卡上绑定多个合法IP地址,然后通过ip映射使发给其中某一 个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。
此IP映射可以通过TPlink路由器实现 具体修改路由转发即可

实例:

假设有一家ISP提供园区Internet接入服务,为了方便管理,该ISP分配给园区用户的IP地址都是伪IP,但是部分用户要求建立自己的 WWW服务器对外发布信息。我们可以再防火墙的外部网卡上绑定多个合法IP地址,然后通过ip映射使发给其中某一 个IP地址的包转发至内部某一用户的WWW服务器上,然后再将该内部WWW服务器响应包伪装成该合法IP发出的包。

 

  我们假设以下情景:

 

  该ISP分配给A单位www服务器的ip为:

 

  伪ip:192.168.1.100

 

  真实ip:202.110.123.100

 

  该ISP分配给B单位www服务器的ip为:

 

  伪ip:192.168.1.200

 

  真实ip:202.110.123.200

 

  linux防火墙的ip地址分别为:

 

  内网接口eth1:192.168.1.1

 

  外网接口eth0:202.110.123.1

 

  然后我们将分配给A、B单位的真实ip绑定到防火墙的外网接口,以root权限执行以下命令:

 

  ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0

 

  ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0

 

  成功升级内核后安装iptables,然后执行以下脚本:

 

  #载入相关模块

 

  modprobe ip_tables

 

  modprobe ip_nat_ftp

 

  首先,对防火墙接收到的目的ip为202.110.123.100和202.110.123.200的所有数据包进行目的NAT(DNAT):

 

  iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100

 

  iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200

 

  其次,对防火墙接收到的源ip地址为192.168.1.100和192.168.1.200的数据包进行源NAT(SNAT):

 

  iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100

 

  iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200

 

  这样,所有目的ip为202.110.123.100和202.110.123.200 的数据包都将分别被转发给192.168.1.100和192.168.1.200;而所有来自192.168.1.100和192.168.1.200 的数据包都将分 别被伪装成由202.110.123.100和202.110.123.200,从而也就实现了ip映射。

stronger125
关注
[openwrt]openwrt-21.02 MT7981 mwan3 ping IPv6出现 ping: sendto: Network unreachable问题分析及解决方案
wgl307293845的博客
11-13 632
MT7981 openwrt-21.02系统开启mwan3发现IPv6出现 Network unreachable。
[openwrt-21.02]mt7981开启mwan3功能ping出现unreachable 问题分析及解决方案
wgl307293845的博客
07-15 430
提供以下功能能力基于数值权重分配的出站 WAN 流量负载均衡或使用多个 WAN 接口进行故障转移使用重复测试监控每个 WAN 连接,如果第一个 WAN 接口失去连接,则可以自动将出站流量路由到另一个 WAN 接口创建出站流量规则以自定义哪些出站连接应使用哪个 WAN 接口(基于策略的路由)。这可以根据源 IP、目标 IP、源端口、目标端口、IP 协议类型等进行定制支持物理/或逻辑 WAN 接口可以在 globals 部分中配置用于标记传出流量的防火墙掩码(默认)。
PREROUTING POSTROUTING, SNAT DNAT图文解析(非常清淅)
热门推荐
虫二的专栏~~在路上~~~
07-19 5万+
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外...
POSTROUTINGPREROUTING区别
Jis的专栏
12-30 1万+
POSTROUTINGPREROUTING区别 标题: preroutingpostrouting理解 我大概清楚一点就是从内网出去的时候用POSTROUTING进来的时候用PREROUTING,可是做透明代理的时候确是用PREROUTING。这是为什么呢? 回复: sunnygg pre还是post是根据数据包的流向来确定的。 通常
深入理解postrouting prerouting
weixin_46249409的博客
06-09 4140
本文详细介绍了postrouting的概念,规则,翻译,发音以及常见的使用方式。通过深入学习postrouting,可以更好地掌握linux内核网络栈的处理过程,并实现更加灵活高效的网络操作。
PREROUTING POSTROUTING, SNAT DNAT
boyemachao的专栏
09-22 716
NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。NAT 的原理 简单的说就是当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的公网 IP 地址,同时记录下该数据包的消息;当外网服务器响应这次由内而外发出的请求或数据交换时,当外网服务器发出的数据包经过路由器时,原本是路由器上的公网 IP 地址被路由器改为内网 IP 。工作原理如下图所示:
PREROUTING POSTROUTING, SNAT DNAT 剖析
Criss_Leung的专栏
09-15 5670
位置: PREROUTING POSTROUTING是位于NAT表中的两条数据中转链。 NAT: NAT (网络地址转换) 技术在平时是很多见的,如家庭中在使用路由器共享上网时,一般用的就是 NAT 技术,它可以实现众多内网 IP 共享一个公网 IP 上网。 NAT原理:  1.当内网主机访问外网时,当内网主机的数据包要通过路由器时,路由器将数据包中的源内网 IP 地址改为路由器上的
iptables系列教程(一)| iptables入门篇
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
05-13 816
一个执着于技术的公众号前言在早期的 Linux 系统中,默认使用的是 iptables 配置防火墙。尽管新型 的 firewalld 防火墙已经被投入使用多年,但是大量的企业在生产环境中...
firewall | iptables | 防火墙
gxy_learning的博客
12-12 2589
防火墙 防火墙介绍 防火墙:在计算机领域,防火墙是用于保护内网信息安全的设备,其会依照用户定义的规则,允许或限制数据的传输 分类 逻辑: 主机防火墙:针对单个主机 网络防火墙:针对网络进行防护,处于网络边缘,防火墙背后是局域网 物理: 硬件防火墙:在硬件级别实现防火墙,另一部分基于软件实现,性能高,成本高。常处于网络边缘 如cisco(思科)ASA 软件防火墙:单独使用 具备配置数据包通过规则 的软件来实现数据包过滤,其性能相较于硬件防火墙低,成本低,在一定程度上会影响到主
iptables使用详解
DoloresOOO的博客
07-25 764
iptables使用详解 1、四表 首先来说一下iptables的四张表 filter负责过滤数据包,他包括的规则链有input,outputforward。 nat(Network Address Translation,网络地址转换)顾名思义,网络地址转换,这张表就是负责网络地址转换,其中有prerouting,postroutingoutput。 mangle表则主要应用修改数据包内容上...
再理一下preroutingpostrouting等插入点
weixin_30455661的博客
02-25 516
这些地方的准确翻译是hook点(hook点是一个土的说法,学名叫rule chain,规则链)这些规则链是内核netfilter架构布置在内核里面的,然后iptables是利用了这套基础架构,想起了内核里的ftrace基础架构; iptables利用了netfilter提供的基础设施,netfilter在内核中安置了有PRE_ROUTING/POST_ROUTING/LOCAL_IN/LOCAL...
iptables中的PREROUTINGPOSTROUTING
weixin_33969116的博客
07-09 1180
工作中用到iptables,PREROUTINGPOSTROUTING,写个简单例子,为以后作参考 [root@tech ~]# cat /tmp/ipt_tmp.sh # Generated by iptables-save v1.3.5 on Mon Jul 9 08:17:39 2012 *filter :INPUT ACCEPT [39519334:18...
3G设置linux路由-iptables配置
weixin_30692143的博客
02-04 303
1.如何区分iptables的PREROUTINGPOSTROUTING链 (引自http://jingyan.baidu.com/article/aa6a2c143d84470d4c19c4cf.html) *mangle#-A PREROUTING -i wlan0 -j TTL --ttl-inc 1#-A POSTROUTING -o wlan0 -j TTL --ttl-dec ...
iptables -t mangle -A PREROUTING -j MARK --set-mark 1提示iptables: No chain/target/match by that name
tanlingyun的专栏
12-01 8055
<br />不知为何,即使Core Netfilter ConfigurationIP: Netfilter Configuration全部采用built-in还是提示这个错误,后来改成module的方式依然不行,最后找到原因是因为它不会自动加载所需要的模块,手动加载即可,modprobe xt_MARK<br />[root@mpc8315erdb /root]# iptables -t mangle -A PREROUTING -s 192.168.2.0/24 -j <br />MARK --set
iptables命令详解举例(完整版)
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
Linux防火墙——iptables(SNAT与DNAT详细)
oyyy3的博客
11-02 7844
一.SNAT 1.原理 原理:源地址转换,修改数据包中的源IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 2.转换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 linxu想系统本身是没有转发功能 只有路由发送数据 tips:一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...
nat表中的prerouting链,postrouting链与 filter表中的 forward链有啥区别
祈心无尘的博客
07-16 656
iptables
iptables 命令
xuejianxinokok的专栏
08-18 667
列出所有规则 iptables -L -n --line-numbers 参考文档 https://www.jianshu.com/p/ee4ee15d3658ptables详解及一些常用规则
你好,OpenEuler ! (十三、IPTABLES策略配置)
weixin_41633010的博客
12-05 801
路虽远行则将至,事虽难做则必成! 滴水穿石,聚沙成塔! 感谢优快云各位大佬的经典博文,在迷茫时能够拨云见日,指点迷津,让我继续一路前行! 如有侵权,请留言,我及时删除
iptables -t nat -A PREROUTING -p tcp --dport 2028 -j DNAT --to-destination 192.168.61.198:2028 不迁移 应该怎么写 Usage: iptables -[ACD] chain rule-specification [options] iptables -I chain [rulenum] rule-specification [options] iptables -R chain rulenum rule-specification [options] iptables -D chain rulenum [options] iptables -[LS] [chain [rulenum]] [options] iptables -[FZ] [chain] [options] iptables -[NX] chain iptables -E old-chain-name new-chain-name iptables -P chain target [options] iptables -h (print this help information) Commands: Either long or short options are allowed. --append -A chain Append to chain --check -C chain Check for the existence of a rule --delete -D chain Delete matching rule from chain --delete -D chain rulenum Delete rule rulenum (1 = first) from chain --insert -I chain [rulenum] Insert in chain as rulenum (default 1=first) --replace -R chain rulenum Replace rule rulenum (1 = first) in chain --list -L [chain [rulenum]] List the rules in a chain or all chains --list-rules -S [chain [rulenum]] Print the rules in a chain or all chains --flush -F [chain] Delete all rules in chain or all chains --zero -Z [chain [rulenum]] Zero counters in chain or all chains --new -N chain Create a new user-defined chain --delete-chain -X [chain] Delete a user-defined chain --policy -P chain target Change policy on chain to target --rename-chain -E old-chain new-chain Change chain name, (moving any references) Options: --ipv4 -4 Nothing (line is ignored by ip6tables-restore) --ipv6 -6 Error (line is ignored by iptables-restore) [!] --protocol -p proto protocol: by number or name, eg. `tcp' [!] --source -s address[/mask][...] source specification [!] --destination -d address[/mask][...] destination specification [!] --in-interface -i input name[+] network interface name ([+] for wildcard) --jump -j target target for rule (may load target extension) --goto -g chain jump to chain with no return --match -m match extended match (may load extension) --numeric -n numeric output of addresses and ports [!] --out-interface -o output name[+] network interface name ([+] for wildcard) --table -t table table to manipulate (default: `filter') --verbose -v verbose mode --wait -w [seconds] maximum wait to acquire xtables lock before give up --wait-interval -W [usecs] wait time to try to acquire xtables lock default is 1 second --line-numbers print line numbers when listing --exact -x expand numbers (display exact values) [!] --fragment -f match second or further fragments only --modprobe=<command> try to insert modules using this command --set-counters PKTS BYTES set the counter during insert/append [!] --version -V print package version. 这个-h结果
最新发布
07-10
2. `-A PREROUTING`:添加到 PREROUTING 链(入站前处理) 3. `-p tcp`:指定 TCP 协议 4. `--dport 2028`:目标端口 2028 5. `-j DNAT`:执行目标地址转换 6. `--to-destination 192.168.61.198:2028`:转换到目标...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值