iptables进行DNAT（目标地址转换）

最新推荐文章于 2024-06-26 09:50:14 发布

转载最新推荐文章于 2024-06-26 09:50:14 发布 · 1.3k 阅读

文章标签：

#运维 #后端 #网络

本文介绍了一种通过iptables配置DNAT的方式，实现将公网流量转发到内网服务器的具体步骤。使用VM环境模拟了真实场景，包括宿主机访问内网服务器的过程，并验证了配置的有效性。

前言：对于Linux服务器而言，一般服务器不会直接提供公网地址给用户访问，服务器在企业防火墙后面，通常只是暴露一个公网给用户，下面已80端口进行实现。

演示环境:VM

（1）host:

　　172.16.100.6（假设是互联网用户）

（2）提供公网的服务器netfilter：

　　192.168.31.168 80端口暴露给用户

（3）后端服务器realserver：

　　192.168.31.167 8080端口提供服务，nginx作为服务器

1、首先我们用我们的宿主机访问8080，验证服务是否正常

服务OK；

2、netfilter添加DSAT转换规则：

iptables -t nat -A PREROUTING -d 192.168.31.168 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.31.167:8080

3.host访问192.168.31.168 80端口，验证是否OK

OK，访问正常。

nginx后端日志可以看到host的访问记录：

很简单的实现了DNAT。

那么我们的宿主机能不能直接访问192.168.31.168:80呢，答案是不可以,这个可以自己下去思考。

总结：防火墙可以实现内部主机对外服务，DNAT：iptables -t nat -A PREROUTING -d 192.168.31.168 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.31.167:8080；

　　我们可以称他为地址映射，端口转换。

关注博主即可阅读全文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_33966095

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

iptables DNAT、SNAT 网络地址转换原理

石牌桥网管笔记

01-16

439

网络地址转换（NAT）是一个至关重要的技术，它允许私有网络与公共网络之间的有效通信。DNAT（目标网络地址转换）、SNAT（源网络地址转换）是 NAT 的两种主要形式，分别用于处理流量的不同方向。

iptables 防火墙二 SNAT与DNAT

2401_83786744的博客

05-22

1176

(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置，用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 不抓取端口是22的数据包。

参与评论您还未登录，请先登录后发表或查看评论

Linux里的防火墙（中）：使用iptables实现DNAT和SNAT

shinfocom

08-21

379

SNAT(源地址转换) 和 DNAT（目标地址转化）都是为了解决网络地址不足而演变出的技术。相关概念： SNAT：源地址转换，顾名思义，就是为了将ip数据包里的源地址替换成我们希望替换掉的地址。 DNAT:目标地址转换，是为了将IP数据包中的目标地址转换成我们希望替换掉的地址。它们的应用： SNAT （一）想象一下，一个公司申请到了一个公网Ip，现在公司内有30台电脑，都处于192...

iptables的SNAT和DNAT实验

qq_35703651的博客

09-04

1187

iptables使用实验

Linux系统之iptables应用SNAT与DNAT

MONGJUK的博客

02-19

2417

SNAT与DNAT原理及应用，详细实验过程；对比SNAT与DNAT区别；介绍iptables规则的备份与还原以及使用tcpdump抓包

iptables DNAT和de-DNAT

shijin741231的博客

03-11

842

DNAT是在请求进入PREROUTING时发生的，修改数据包的目地IP，然后查找路由；de-DNAT是在响应进入POSTROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的源IP，然后发出。同样SNAT是在请求进入POSTROUTING时发生的，修改数据包的源IP，然后发出；de-SNAT响应进入PREROUTING时发生的，根据之前建立的nf_conntrack，修改响应数据包的目地IP，然后查找路由。

利用iptables做地址转发

weixin_34290000的博客

05-23

682

1、实现目的有三台服务器，分别为node1,node2(nat),node3,其中node2做nat转换。在node1不能与node3直接通信的情况下，通过node2 nat地址转换，实现node1能与node3通信。node1:192.168.0.73node2:192.168.0.74 【nat机器】node3:192.168.0.1892、环境配置node1不能与n...

网络安全基于iptables的SNAT与DNAT策略配置：实现内外网双向通信流量控制

最新发布

11-24

DNAT（目的地址转换）则用于对外发布内网服务，如将外网对公网IP某端口的访问请求重定向到内网服务器，文中以Web服务器为例，展示如何通过DNAT将外部80端口请求转发至内网指定主机。同时涵盖了相关命令操作，包括...

iptables之SNAT与DNAT

qq_45088125的博客

05-17

3631

文章目录一、SNAT策略及应用1、SNAT策略概述1.1 SNAT应用环境1.2 SNAT策略的原理1.3 SNAT转换前提条件2、开启SNAT命令3、SNAT案例一、SNAT策略及应用 1、SNAT策略概述 1.1 SNAT应用环境局域网主机共享单个公网IP地址接入Internet（私有IP不能在Internet中正常路由） 1.2 SNAT策略的原理源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映射。 1.3 SNAT转换前提条件局域网各主机已正确设置IP地址、子网掩码、默认路由发

iptables(11)target(SNAT、DNAT、MASQUERADE、REDIRECT)

Monster✺◟(∗❛ัᴗ❛ั∗)◞✺的博客

06-26

1804

前面我们已经介绍了ACCEPT、DROP、REJECT、LOG，这篇文章我们介绍SNAT、DNAT、MASQUERADE、REDIRECT，这几个参数的定义我们在上篇文章中都有介绍，我这里再列出回顾一下。

Linux防火墙——iptables（SNAT与DNAT详细）

oyyy3的博客

11-02

8012

一.SNAT 1.原理原理：源地址转换，修改数据包中的源IP地址作用：可以实现局域网共享上网配置的表及链：nat表中的POSTROUTING 2.转换前提条件局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发 linxu想系统本身是没有转发功能只有路由发送数据 tips:一个IP地址做SNAT转换，一般可以让内网100到200 台主机实现上网临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...

iptables防火墙(二)-SNAT和DNAT原理与应用

Another_Feng的博客

03-19

1232

@TOC SNAT原理与应用： SNAT应用环境局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由） SNAT原理修改数据包的源地址。 SNAT转换 SNAT转换前提条件：局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由转发临时打开： echo 1 > /proc/sys/net/ipv4/ip_forward sysctl -w net.ipv4.ip_forward=1 永久打开： vim /etc

iptables 源地址、目标地址转换

2302_78534730的博客

09-13

1804

现在反过来用web来ping客户机，结果是失败的，那么该怎么操作呢？重启网络 systemctl restart network。首先为了体现效果，在客户机上上安装httpd服务。测试防火墙能否ping通客户机和web。安装、测试httpd。

Destination NAT with netfilter (DNAT)

运维网工学习

12-28

666

Destination NAT with netfilter is commonly used to publish a service from an internal RFC 1918 network to a publicly accessible IP. To enable DNAT, at least one iptables command is required. The conne

Iptables DNAT解读

weixin_34216036的博客

05-15

397

原文请参阅www.netren.org jeffreyguo整理编辑 iptables DNAT功能就是重写包的目的IP地址。如果一个包被匹配了，那么它所有的包都会被自动转换，然后被路由到正确的主机或网络。 DNAT target是非常有用的一项功能。如果我的Web服务器在LAN内部，而且没有可在Internet上使用的公网IP地址，那就可以使用D...

iptables的DNAT和SNAT

热门推荐

吴业亮的专栏

12-09

1万+

一、概述： 1、 SNAT, DNAT, MASQUERADE都是NAT 2、MASQUERADE是SNAT的一个特例 3、SNAT是指在数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的IP，这样，接收方就认为数据包的来源是被替换的那个IP的主机 4、MASQUERADE是用发送数据的网卡上的IP来替换源IP，因此，对于那些IP不固定的场合，比如拨号网络或者通过dhcp分配I

Linux之iptables（NAT表）讲解篇

qq_62311779的博客

06-18

5197

这是本人为了记录笔记而搜集整理的！！！！目录SNAT的数据流向过程：MASQUERADE（地址伪装）SNAT与MASQUERADE的区别： MASQUERADE例子：DNAT(目标地址址转换)：DNAT的数据流向过程：SNAT+DNAT注意事项：——查看NAT表： ——查看iptables配置 SNAT(源地址转换)：...

ubuntu的init与系统服务设置

lpp1989的专栏

08-14

957

init Init是位于/sbin/init的一个程序，它是在linux下，在系统启动过程中，初始化所有的设备驱动程序和数据结构等之后，由内核启动的一个用户级程序，并由此init程序进而完成系统的启动过程。 ubuntu与传统的linux略有不同，使用upstart完成系统的启动，但表面上仍维持init程序的形式。运行级别传统上，linux有几种不同的运行级别，包括如下几种： # 0

为什么prerouting要进行DNAT，也就是目标地址转换

08-25

<think>我们之前讨论了Netfilter框架，其中prerouting阶段发生在路由决策之前。DNAT（目标地址转换）在prerouting阶段执行的原因主要与路由决策的时机有关。理由： 1. 路由决策需要基于数据包的目标IP地址来确定数据包的流向（是发给本机、转发还是其他）。 2. 如果我们需要改变数据包的目标地址（比如端口转发，将访问公网IP的数据包转发到内网服务器），那么必须在路由决策之前修改目标地址，这样路由决策才能根据新的目标地址做出正确的路径选择。例如，假设我们有一个公网IP 203.0.113.1，我们希望将访问该IP的80端口的数据包转发到内网服务器192.168.1.100的80端口。那么当数据包到达时，其目标IP是203.0.113.1，但我们需要在路由决策前将其目标IP改为192.168.1.100。这样，系统在路由决策时就会根据新的目标IP（192.168.1.100）判断该数据包应该转发到哪个接口（比如内网接口eth1），而不是按照原来的目标IP（203.0.113.1）可能会被当作发给本机的数据包处理（因为203.0.113.1是本机的公网IP，如果不做DNAT，系统会认为这个包是发给自己的，从而进入INPUT链，而不是FORWARD链）。因此，DNAT必须在prerouting阶段完成，以确保路由决策基于修改后的目标地址。另外，SNAT（源地址转换）则必须在postrouting阶段进行，因为SNAT需要知道数据包要从哪个接口出去（即路由决策已经完成），然后才能根据出口接口的IP来修改源地址。而且，在路由决策之前，我们可能还不知道数据包会从哪个接口出去，所以无法确定SNAT的地址。总结：DNAT在prerouting阶段执行是为了影响后续的路由决策；而SNAT在postrouting阶段执行是因为它依赖于路由决策的结果（出口接口）。现在，根据规则，我们需要在回答后提出3-5个相关问题。</think>### DNAT必须在Prerouting阶段执行的原因在Netfilter框架中，**DNAT（目标地址转换）必须在Prerouting阶段执行**的核心原因在于**路由决策的依赖性**。以下是关键机制： 1. **路由决策依赖目标地址** - 路由引擎（如Linux内核的路由表）**完全依赖目标IP地址**决定数据包去向（本地处理/转发/丢弃）。 - 若DNAT不在路由前完成，系统将基于**原始目标IP**做出错误路由： - 本应转发的包可能被误判为本地处理（进入`INPUT`链） - 或需转发的目标子网未被正确识别 2. **DNAT的本质需求** - DNAT的典型场景：端口转发、负载均衡、公网服务映射到内网服务器 - **示例**：将访问 `公网IP:80` 的请求重定向到内网服务器 `192.168.1.100:80` ```bash iptables -t nat -A PREROUTING -d 203.0.113.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100 ``` - **若在Postrouting执行DNAT**：路由引擎仍看到原始目标IP `203.0.113.1`，误认为需本地处理，导致转发失败 3. **与SNAT的对比逻辑** | **转换类型** | **依赖对象** | **执行阶段** | **原因** | |-------------|-------------------|--------------|-----------------------------| | **DNAT** | 目标IP（影响路由） | Prerouting | 路由决策需基于修改后的目标IP | | **SNAT** | 出口接口（路由结果）| Postrouting | 转换需知道最终出口接口的IP | 4. **技术流程验证** ```mermaid graph LR A[数据包进入] --> B(Prerouting阶段) B --> C{DNAT修改目标IP} C --> D[路由决策] D --> E[根据新目标IP选择路径] E --> F[转发或本地处理] ``` - **关键点**：路由模块读取的是DNAT修改**后**的目标IP > **典型案例**：防火墙将公网请求转发到内网Web服务器。若DNAT延迟到Postrouting，数据包会因目标IP仍是公网地址而被错误提交给本地系统（而非转发），导致服务不可用。