基于snat和dnat的跳板机安全架构服务

本文详细描述了在CentOS7.9环境中配置iptables、TCPWrappers和SSH,实现地址转换和安全性服务的过程,包括SNAT和DNAT策略设置、防火墙规则、ssh服务调整及验证连接流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验环境: centos 7.9 iptables tcpwrappers ssh

实验目的: 深入领会地址转换以及安全性服务

实现拓扑图形: 

 

实现步骤:

1.准备3台linux虚拟机,其中一台作为防火墙,两块网卡。另外两台分别做跳板机和web服务器

手工配置ip地址 

防火墙ens33ip地址为:  192.168.2.119 

          ens36ip地址为:   192.168.91.254

 

跳板机ip地址为:            192.168.91.123

web服务器ip地址为:      192.168.91.80

2.分别关闭三台机器的防火墙iptables以及selinux

[root@localhost ~]# iptables -F -t nat
[root@localhost ~]# iptables -F
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0

3.在防火墙上配置对应的snat策略和dnat策略

[root@localhost ~]# iptables -t nat -A PREROUTING -i ens33 -d 192.168.2.119 -p tcp --dport 2288  -j DNAT --to-destination 192.168.91.123:6677

#DNAT策略 这条命令表示将访问网卡ens33 目标地址为192.168.2.119 tcp协议 端口为2288

访问以映射到内网的 192.168.91.123:6677 这台机器

[root@localhost ~]# iptables -t nat -A POSTROUTING -o ens33 -s 192.168.91.0/24 -j SNAT --to-source 192.168.2.119
#SNAT策略 这条命令表示将内网为192.168.91.0网段通过ens33的取访问外网的请求,将源地址改为192.168.2.119进行访问

4.开启防火墙对应的路由功能,可以转发流量

echo 1 >/proc/sys/net/ipv4/ip_forward  //临时修改

 5.修改web服务器上的tcpwrapper黑白名单

[root@localhost /]# vim /etc/hosts.allow

sshd:192.168.91.123  //放开来自192.168.91.123 的主机

[root@localhost /]# vim /etc/hosts.deny

sshd:ALL   //限制所有访问sshd服务的主机

6.在跳板机上修改ssh服务的端口以及禁止root用户远程登录创建一个新的用户superman

[root@server shell]# vim /etc/ssh/sshd_config

Port 6677

PermitRootLogin no

[root@server shell]# useradd superman
[root@server shell]# echo 123456|passwd superman --stdin

7.验证防火墙的SNAT策略是否成功以及内网机器是否能够上网 #使用ping命令

[root@server shell]# ping www.baidu.com
PING www.a.shifen.com (14.119.104.254) 56(84) bytes of data.
64 bytes from 14.119.104.254 (14.119.104.254): icmp_seq=1 ttl=54 time=21.2 ms
64 bytes from 14.119.104.254 (14.119.104.254): icmp_seq=2 ttl=54 time=24.1 ms
64 bytes from 14.119.104.254 (14.119.104.254): icmp_seq=3 ttl=54 time=20.9 ms
^C
--- www.a.shifen.com ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 20.954/22.122/24.165/1.459 ms


[root@localhost /]# ping www.baidu.com
PING www.a.shifen.com (14.119.104.254) 56(84) bytes of data.
64 bytes from 14.119.104.254 (14.119.104.254): icmp_seq=1 ttl=54 time=23.6 ms
64 bytes from 14.119.104.254 (14.119.104.254): icmp_seq=2 ttl=54 time=23.0 ms


 

8.在windows主机上使用xshell进行连接防火墙的ip地址 192.168.2.119:2288 用户为superman用户

 

 

 

 9.最后验证:此时已经ssh连接到跳板机,使用ssh命令连接到web服务器

superman@server ~]$ ssh root@192.168.91.80
The authenticity of host '192.168.91.80 (192.168.91.80)' can't be established.
ECDSA key fingerprint is SHA256:asAWgGKcP+VYplhgeJLzJfKqqtfCKOKMrQhGEzq/YSE.
ECDSA key fingerprint is MD5:21:fa:59:d6:69:f7:b9:6a:66:97:41:d4:39:73:36:ce.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.168.91.80' (ECDSA) to the list of known hosts.
root@192.168.91.80's password: 
Last login: Wed Aug  2 17:27:15 2023 from 192.168.91.123

<think>好的,我现在需要给用户介绍一下iptables中的SNATDNAT。首先,我得回忆一下自己对这两个概念的理解,确保没有混淆。SNAT是源地址转换,DNAT是目的地址转换,对吗?对的,我记得SNAT主要用于当内部网络的主访问外部网络时,修改源IP地址,通常是用来共享一个公网IP出口。而DNAT则是当外部网络的主访问某个公网IP的特定端口时,将其转发到内部网络的某个服务器上,比如端口映射。 接下来,我需要考虑用户可能的背景。用户可能对iptables有一定了解,但需要明确区分这两个NAT类型,或者是在配置网络时遇到了问题。需要从基本概念入手,解释两者的用途典型应用场景,同时给出实际例子,这样用户更容易理解。 需要确认SNATDNAT在iptables中的具体应用链。SNAT一般用在POSTROUTING链,而DNAT用在PREROUTING链。这是因为SNAT是在路由之后修改源地址,而DNAT是在路由之前修改目标地址,确保数据包能正确路由到内部主。 同时,应该提到MASQUERADE,这是SNAT的一种特殊形式,适用于动态IP的情况,比如拨号上网。而DNAT常用于将外部请求转发到内部的Web服务器或SSH服务器。 还要注意语法格式,比如SNAT的--to-sourceDNAT的--to-destination,以及相应的端口映射示例。比如,将外部的80端口请求转发到内网服务器的8080端口。 可能会遗漏一些细节,比如conntrack模块的作用,或者需要开启IP转发功能(net.ipv4.ip_forward=1)。这些虽然不是核心概念,但对于实际配置成功很重要,应该提到。 用户可能想知道什么时候用SNAT,什么时候用DNAT,所以需要明确两者的区别:SNAT改的是发出数据包的源地址,DNAT改的是接收数据包的目标地址。典型的SNAT用例是让多个内网设备通过一个公网IP上网,而DNAT用于从外部访问内网服务。 最后,结构要清晰,分点解释,给出示例命令,并总结两者的区别常见应用场景,这样用户能快速抓住重点。</think>**iptables的SNATDNAT详解** **1. 核心概念对比** - **SNAT(Source NAT)** - 作用:修改数据包源地址 - 典型场景:内网设备共享公网IP访问互联网 - 生效阶段:`POSTROUTING`链(路由决策之后) - 特点:需指定固定IP(如 `--to-source 202.96.128.5`) - **DNAT(Destination NAT)** - 作用:修改数据包目标地址 - 典型场景:公网访问内网服务器 - 生效阶段:`PREROUTING`链(路由决策之前) - 特点:支持端口映射(如 `--to-destination 192.168.1.10:8080`) **2. 配置示例** ```bash # SNAT示例(静态IP环境) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 202.96.128.5 # SNAT动态IP场景(ADSL拨号) iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE # DNAT端口映射(外部80转内部8080) iptables -t nat -A PREROUTING -d 202.96.128.5 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.10:8080 ``` **3. 关键实现原理** - **连接跟踪制**:依赖`conntrack`模块记录NAT前后的连接状态 - **双向地址转换**:自动处理响应数据包的逆向转换 - **路由决策时**: - DNAT在路由前修改目标地址,影响后续路由路径 - SNAT在路由后修改源地址,保证出站路径正确 **4. 典型应用场景** - SNAT常见用途: - 企业内网共享上网 - 多服务器负载均衡出口 - 隐藏真实客户端IP - DNAT常见用途: - 家庭宽带映射游戏服务器 - 云服务器端口转发 - 反向代理后端服务 **5. 必要系统配置** ```bash # 启用IP转发(永久生效需修改/etc/sysctl.conf) echo 1 > /proc/sys/net/ipv4/ip_forward ``` **6. 流量路径示意图** ``` 外部访问DNAT流程: 互联网 → 防火墙PREROUTING(DNAT) → 路由决策 → 内网服务器 内部访问SNAT流程: 内网主 → 路由决策 → 防火墙POSTROUTING(SNAT) → 互联网 ``` **7. 诊断命令** ```bash # 查看NAT表规则 iptables -t nat -nvL --line-numbers # 监控NAT连接状态 conntrack -E ``` **注意**:实际部署时需同步考虑安全策略,建议
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值