DNS解析 不同网段主机之间如何访问 内网访问公网3

简单说明一下dns 及 网段的概念

一个域名系统，最简单来说就是：

我们上网会输入一个域名（www.baidu.com），但计算机（浏览器）无法直接访问这个域名，需要将域名解析成为ip地址才能够访问，所以dns域名解析就是将域名转换成为ip地址的一个软件系统。

主要用途：

域名解析                最常用，也是最直观的

负载均衡                适配于在一定时间段内有大量客户访问服务器，可以通过dns解析将一个域名解析到多个服务器之上，实现服务器访问速度及准确率

安全性                    通过DNSSEC（域名系统安全扩展）技术，可以为DNS查询提供安全验证功能，防止域名被篡改或劫持，从而提高网络的安全性。

网段的概念：

了解网段的概念，需要先了解ip地址，网关基础网络知识。

ip地址：在公网中分配给每一台主机的一个数字标识符，类似于 我们人的身份编码 ，用于识别网络中唯一的主机设备。

网关：（默认网关）

它是网络设备用来转发到非本地网络数据包的一个地址。当一台设备想要将数据发送给不在子网的另一台设备时，他会将数据包发送给默认网关，再由网关将数据包发送至目的地。

网段：

网段是指一个IP地址范围，通常由一个ip地址和一个子网掩码共同定义，网段内的所有设备都睡同一个逻辑网络。

总结：

ip地址：用于唯一识别公网中的设备主机。

子网掩码：用于区分ip地址中的网络部分和主机部分。

默认网关：转发非本地网络数据包的目标地址。

网段：由ip和子网掩码共同定义的地址范围，表示一个逻辑网络。

演示：同网段下主机之间的数据传输

主机1：

ip地址        192.168.1.101

子网掩码    255.255.255.0

其余全部注释

查看网关

只有一个目的地，192.168.1.0/24网段        默认网关是0.0.0.0（并没有配置网关）

主机2同理

ip地址        192.168.1.102

子网掩码        255.255.255.0

使用ping命令测试

能够ping通，对应前面同网段下的主机形成了一个闭环的逻辑网络，所以可以相互访问。

加入不同网段：

主机2 关闭网卡1，打开网卡2（192.168.2.0/24），系统提示网络不可达，需要网关介入

而 网关之间 也无法通讯，所以还需要一个功能来实现网关之间的相互通讯，也就是 路由转发功能。

打开主机3

该主机有192.168.1.0        192.168.2.0        两个网段，可以同时对主机1和主机2形成逻辑闭环。

主机3能够访问主机1 和 主机2

为主机1 和 主机2添加网关

主机1：route add default gw 192.168.1.253

主机2：route add default gw 192.168.2.253

含义：为主机1添加一个默认路由，网关为192.168.1.253

衍生：

route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.1

这条命令将添加一条路由，将所有目标地址为192.168.1.0/24网络的数据包发送到网关192.168.0.1。

route add -host 192.168.1.100 gw 192.168.0.1

这条命令将添加一条路由，将所有目标地址为192.168.1.100主机的数据包发送到网关192.168.0.1。

路由转发功能默认关闭，需要打开

编辑/etc/sysctl.conf文件，添加或修改以下行：

net.ipv4.ip_forward = 1

sysctl -p

测试：

内网访问外网：

主机3打开公网

测试

主机3需要配置防火墙功能，对内网主机1实现ip伪装，让公网误以为是主机3在访问互联网。

需要使用到 iptables防火墙 nat转发功能

对192.168.1.0/24网段的ip地址进行源地址转换(SNAT)，转换为192.168.163.130（公网地址）

原理：

内网1主机访问外网的数据包在 网络 的流程路径 及 互联网百度的反馈路径

1、内网主机1发出访问 baidu 的请求，由于本地没有外网没办法发送，借助网关找到了防火墙服务器。

2、防火墙收到了来自主机1的请求，并将该请求发送出去了，且 baidu 收到了该请求并反馈了该信息，但在反馈时出现了意外。

        反馈时，由于内网主机1的ip地址无法在公网中查到，所以反馈数据无法到达内网主机1，导致连接失败。

        处理方法，内网本身无法访问公网，但是防火墙服务器能够访问公网，为内网ip地址套上一个壳，使用该壳访问 baidu，流程就变成了

        内网主机----> 壳 ----> 访问baidu ----> baidu反馈数据 给 壳 ----> 壳 反馈数据给 内网主机

这个 壳 就是NAT转发（网络地址转换）

而其中的SNAT（就是 源地址转发），通常用于内部网络访问外网。

命令格式：

iptables -t nat -A POSTROUTING -s 内网主机 或 内网网段/24 -o 网卡 -j SNAT --so-source 外网地址

总结：

同网段之间的访问不需要借助任何东西，ip地址+子网掩码可是实现逻辑网络闭环。

不同网段之间的访问需要借助网关，且网关直接还需要能够相互访问

可以使用route命令添加网关，也可以直接卸载网卡配置文件当中

内网访问公网需要借助nat转发（网络地址转换）

需要防火墙介入

对源地址进行ip映射实现内网访问外网。