iptables之NAT

iptables NAT 实践与配置详解
最新推荐文章于 2024-07-07 23:45:32 发布
原创 最新推荐文章于 2024-07-07 23:45:32 发布 · 7.6k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#iptables

本文介绍了iptables的NAT功能,用于改变数据包的源和目标IP地址及端口。详细讲解了NAT的PREROUTING、POSTROUTING、OUTPUT三个链,以及如何通过SNAT、DNAT、MASQUERADE和REDIRECT实现地址转换和端口映射。通过开启Linux系统的IP转发,并配置相应的iptables规则,可以实现内网主机的公网访问和共享IP上网等功能。
部署运行你感兴趣的模型镜像

在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改,更为确切的说,除了将源MAC地址换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。NAT (Network Address Translation,网络地址转换)恰恰是出于某种特殊需要而对数据包的源ip地址、目标ip地址、源端口、目标端口进行改写的操作。利用iptables的内置表NAT可以实现上述功能

iptables NAT的三个链:PREROUTING,POSTROUTING,OUTPUT

  PREROUTING:可以在这里定义进行目标地址NAT的规则,因为路由器进行路由时只检查数据包的目标ip地址,所以为了使数据包得以正确路由,我们必须在路由之前就进行目的NAT
  POSTROUTING:可以在这里定义进行源地址NAT的规则,系统在决定了数据包的路由以后在执行该链中的规则
  OUTPUT:定义对本地产生的数据包的目的NAT规则

注:在CentOS 7中NAT表增加了INPUT链,源地址转换(SNAT)也可以写在INPUT链上

NAT处理的动作选项

  SNAT:源地址转换,改变数据包的源地址,常接选项--to-source
  DNAT:目标址转换,改变数据包的目标地址,常接选项--to-destination
  MASQUERADE:地址伪装,适用于ADSL等动态拨号上网的IP伪装
  REDIRECT:端口映射,通常用实现透明代理和对外开放内网某些服务,常接选项--to-ports

三个链支持的处理动作

  PRERROUTING:DNAT,REDIRECT  对目标地址进行修改,支持-o选项(路由之前)
  POSTROUTING:SNAT,MASQUERADE  对源地址进行修改,支持-i选项(路由之后)
  OUTPUT:DNAT,REDIRECT     处理来自NAT主机本身生成的出站数据包(本机)

要实现NAT,首先要打开核心转发功能 

[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward

想要永久生效的话,编辑/etc/sysctl.conf文件,修改成net.ipv4.ip_forward = 1,然后执行sysctl -p可以立即生效

NAT不同处理动作的配置

1.SNAT:隐藏内网主机ip地址,也可以实现共享公网ip上网

eg:

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 172.16.8.9

源地址是192.168.1.0/24转化成172.16.8.9

2.DNAT:可以通过公网ip访问局域网内的服务

eg:

[root@localhost ~]# iptables -t nat -A PREROUTING -d 172.16.8.9 -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.9:8080

访问172.16.8.9的80端口时,会映射到192.168.1.9的8080端口

3.MASQUERADE:ADSL拨号上网,可以认为是SNAT的一种特殊情况(转换地址是动态的)

eg:

[root@localhost ~]# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

4.REDIRECT:在本机上进行端口映射,可以认为是DNAT的一种特殊情况(目标地址是本机)

eg:

[root@localhost ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j REDIRECT --to-ports 2121

访问本机21端口时,会被映射到2121端口

您可能感兴趣的与本文相关的镜像

Dify

Dify

AI应用
Agent编排

Dify 是一款开源的大语言模型(LLM)应用开发平台,它结合了 后端即服务(Backend as a Service) 和LLMOps 的理念,让开发者能快速、高效地构建和部署生产级的生成式AI应用。 它提供了包含模型兼容支持、Prompt 编排界面、RAG 引擎、Agent 框架、工作流编排等核心技术栈,并且提供了易用的界面和API,让技术和非技术人员都能参与到AI应用的开发过程中

IPtables之四:NAT原理和配置
weixin_34250709的博客
07-26 671
NAT一般情况下分为SNAT,DNAT和PNAT 此篇主要讲述的是使用iptables配置NAT,所以这3种NAT的区别和应用场景就简单的说明一下 SNAT:源地址转换 目标地址不变,重新改写源地址,并在本机建立NAT表项,当数据返回时,根据NAT表将目的地址数据改写为数据发送出去时候的源地址,并发送给主机 目前大多都是解决内网用户用同一个公网地址上网的情...
iptables配置理解NAT技术
redwand的博客
05-03 546
本文通过路由转发、SNAT、DNAT三个实验配置,学习了路由转发与NAT技术的区别,通过这些学习,我们从报文传输的角度更深的理解了路由转发和NAT技术的工作细节原理,这对我们在网络安全中学习流量转发、代理建立等技术有着重要意义。
iptables的代码实现nat
03-21
使用iptables进行设置的基本命令,配置正确的iptables命令
iptables防火墙-NAT
m0_51586984的博客
03-20 2576
防火墙iptables-NAT、firewall、TCP_wrapper
iptables-nat
wdirdo的博客
10-23 851
iptables-nat ★★★★★ 初识nat,工作中常用nat技术 NAT简介: ◆ NAT: network address translation 网络地址转换 内网地址想与公网地址进行通信时,可使用NAT方法。NAT方法需要在专用网连接到因特网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址的主机在和外...
iptablesNAT设置
06-01
iptables可以通过NAT(Network Address Translation)技术实现网络地址转换,主要包括源地址转换(SNAT)和目标地址转换(DNAT)。SNAT将源IP地址替换为另一个IP地址,而DNAT将目标IP地址替换为另一个IP地址。 下面是...
iptablesNAT端口转发设置
06-01
要设置iptablesNAT端口转发,可以使用以下命令: 1. 首先开启IP转发功能: ``` sudo sysctl -w net.ipv4.ip_forward=1 ``` 2. 添加NAT规则: ``` sudo iptables -t nat -A PREROUTING -p tcp --dport <原始...
Linux学习之iptablesnat
qq_42108074的博客
08-17 830
此文章为8月Day 17学习笔记,内容来源于极客时间。一般用于内网,用于目的地址转换。一般用于外网,用于源地址转换。可以看一下配置文件里边的内容。端口并且通过的数据转发到内网。可以看一下对应的安装文件。
iptables配置NAT实现端口转发
a13568hki的博客
06-18 855
加载防火墙的内核模块。
使用Linux中的iptables完成NAT转发服务
m0_52614540的博客
05-08 2193
如果使用vi /etc/sysconfig/iptables命令查看iptables配置文件,就会发现多了一条nat表的snat转发规则。找到 net.ipv4.ip_forward = 1 这一条,确保后面的值为1就行,如果没有这一条,手动加进去。第二步:设置iptablesNAT转发规则,在有公网的服务器上(别忘修改为自己对应转发的IP地址)保存退出,然后使用 sysctl -p 命令使上面的修改生效。第三步:重启iptables使规则生效。#查看与编辑iptables文件信息。
iptables 详解(NAT)
changexhao的专栏
10-24 6527
前提基础: 当主机收到一个数据包后,数据包先在内核空间中处理,若发现目的地址是自身,则传到用户空间中交给对应的应用程序处理,若发现目的不是自身,则会将包丢弃或进行转发。 iptables实现防火墙功能的原理是:在数据包经过内核的过程中有五处关键地方,分别是PREROUTING、INPUT、OUTPUT、FORWARD、POSTROUTING,称为钩子函数,iptables这款用户空间的
iptables实现NAT
xiaochenwj1995的博客
09-08 3000
NAT: network address translation PREROUTING,INPUT,OUTPUT,POSTROUTING 请求报文:修改源/目标IP,由定义如何修改 响应报文:修改源/目标IP,根据跟踪机制自动实现 SNAT:source NAT POSTROUTING, INPUT 让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装 请求报文:修改源IP DNAT:...
iptablesNAT
weixin_49888561的博客
06-04 2294
被动模式配置:iptables -t nat -A PREROUTING -p tcp -m multiport --dports 21,8001:9000 -j DNAT --to 192.168.10.13。iptabls -t nat -A PREROUTING -s 180.15.10.10 -p tcp --dport 2221 -j DNAT --to 192.168.10.13:22(端口映射)主动连接是服务器通过20号端口主动向客户端建立连接(SNAT
防火墙(Iptables NAT)
ailu3588的博客
07-28 313
1.nat 透明转发源地址和目标地址不会改变环境配置:三台机器:一台:更改网关: [root@whya ~]# ip route add default via 192.168.60.160 [root@whya ~]# ip route del default via 192.168.60.2 [root@whya ~]# ip route list default v...
iptables配置实现NAT
最新发布
Tassel_YUE的博客
07-07 1670
iptables -t nat -A POSTROUTING -s 内网网段 -j MASQUERADE。若公网ip不固定,也可使用。
iptables-NAT实现
李少侠
04-02 1033
文章目录SNAT源地址的转换DNAT目标地址转换 SNAT源地址的转换 基于源地址的转换一般用在我们的许多内网用户通过一个外网上网的时候,这时我们将我们内网的地址转换为一个外网的IP,我们就可以实现连接其他外网IP的功能。 比如我们现在要将所有192.168.10.0网段的IP在经过的时候全都转换成172.16.100.1这个假设出来的外网地址: iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j SNAT --to-source 172.16.100.
IPTABLES nat
Jason_416的博客
10-14 230
DNAT 映射到路由器<port>的TCP报文,修改报文目的地址和端口为<dst_ip>和<dst_port> iptables -t nat -I -p tcp -m tcp --dport <port> -j DNAT --to-destination <dst_ip>:<dst_port> 收到映射后报文的局域网内主机需要能够将应答报文转发到路由器 路由器需要配置SNAT,能将局域网内主机的应答报文的源地址修改为路由器的地
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值