iptables防火墙(二)

最新推荐文章于 2023-02-16 15:49:09 发布
原创 最新推荐文章于 2023-02-16 15:49:09 发布 · 465 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #服务器 #运维

本文详细介绍了SNAT(源地址转换)和DNAT(目标地址转换)策略在局域网共享上网和发布内网服务器中的应用。SNAT用于让局域网主机共享单个公网IP上网,而DNAT则用于将公网流量导向内网特定服务器。通过iptables命令配置SNAT和DNAT转换规则,可以实现动态IP共享和内网服务对外发布。同时,正确配置SNAT和DNAT规则是确保数据包正确返回的关键。

一.SNAT策略及应用

1.SNAT策略概述
(1)SNAT策略的典型应用环境
局域网主机共享单个公网IP地址接入Internet
(2)SNAT策略的原理
- 源地址转换,Source  Network  Address  Translation

- 修改数据包的源地址
2.SNAT的典型应用环境
局域网共享上网

在这里插入图片描述

3.SNAT策略的工作原理
未作SNAT转换时的情况

在这里插入图片描述

进行SNAT转换后的情况

在这里插入图片描述

4.SNAT策略的应用
(1)前提条件

- 局域网各主机正确设置IP地址/子网掩码

- 局域网各主机正确设置默认网关地址

- Linux网关支持IP路由转发

(2)实现方法
编写SNAT转换规则

在这里插入图片描述

5.共享动态IP地址上网
MASQUERADE——地址伪装

- 适用于外网IP地址非固定的情况

- 对于ADSL拨号连接,接口通常为ppp0、ppp1

- 将SNAT规则改为MASQUERADE即可

在这里插入图片描述

二.DNAT策略及应用

1.DNAT策略概述
(1)DNAT策略的典型应用环境

- 在Internet中发布位于企业局域网内的服务器

(2)DNAT策略的原理

- 目标地址转换,Destination  Network  Address  Translation

- 修改数据包的目标地址
2.DNAT的典型应用环境
在Internet中发布内网服务器

在这里插入图片描述

3.DNAT策略的工作原理
进行DNAT转换后的情况

在这里插入图片描述

4.DNAT策略的应用

(1)在Internet中发布内网服务器

在这里插入图片描述

(2)前提条件

- 局域网的Web服务器能够访问Internet

- 网关的外网IP地址有正确的DNS解析记录

- Linux网关支持IP路由转发

(3)实现方法

- 编写DNAT转换规则

在这里插入图片描述

(4)发布时修改目标端口

在DNAT规则中以“IP:PORT"的形式指定目标地址

在这里插入图片描述

三.规则的导出、导入

SNAT转换1:固定的公网IP地址:
#配置SNAT策略,实现snat功能,将所有192.168.100.0这个网段的ip的源ip改为10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1
                                    可换成单独IP  出站 外网网卡            外网IP
或
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10
                                        内网IP   出站 外网网卡                    外网IP或地址池
												
SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE


DNAT转换1:发布内网的Web服务
#把从ens37进来的要访问web服务的数据包目的地址转换为192.168.100.13
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.13
或                                入站     公网IP                                  内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.13
                              入站          公网IP             端口                           内网服务器IP
							                                                                  注:默认时80

回包
iptables -t nat -A POSTROUTING  -s 192.168.100.13 -o ens37 -j SNAT --to 10.0.0.1
										内网IP	出站外网网卡			外网地址


入站外网网卡外网IP
内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 80 -j DNAT --to 192.168.100.13-192.168.100.20
																			地址段
DNAT转换2:发布时修改目标端口
#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.100.13:22
							入站外网网卡    外网IP           外网远程端口			 内网IP和远程端口号
#在外网环境中使用SSH测试
ssh -p 250 root@10.0.0.1  

yum -y install net-tools    #若没有ifconfig 命令可提前使用yum 进行安装
ifconfig ens33

iptables -nvL -t nat  查看


注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回
z的小怪兽
关注
iptables配置——NAT地址转换
知秋一叶
11-29 6万+
iptables nat 原理 同filter表一样,nat表也有三条缺省的"链"(chains):     PREROUTING:目的DNAT规则   把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。           因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;           系统先P
iptables 防火墙 SNAT与DNAT
最新发布
2401_83786744的博客
05-22 1166
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型(2)-i ens33 : 只抓经过接口ens33的包(3)-t : 不显示时间戳(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包(5)-c 100 : 只抓取100个数据包(6)port!22 : 不抓取端口是22的数据包。
Linux网络管理—iptables命令
gaoZhuanMing的博客
09-09 589
作用:用于 IP 包的过滤和实现 NAT. 1. 表和链 常用的表有2个:filter 和 nat. 每张表又包含多条链,每条链就是规则序列. filter 表包含 INPUT,FORWARD,OUTPUT 链. nat 表包含 PREROUTING,OUTPUT,POSTROUTING 链. 2. 处理流程 接收到数据包的处理过程 本机收到数据包,由 nat.PREROUTING 先进行处理; 如果数据包的目的地址是本机,则交由 filter.INPUT 进一步处理;然后将数据包交给本机上层协议栈.
iptables结构及规则
零下二度的博客
01-08 1724
目录一、iptables概述:netfilter:iptables、四表五链四表五链四表:五链:三、iptables的安装与使用1、iptables防火墙的配置方法(1) 使用iptables 命令行(2)注意事项(3)常用的控制类型(4)常用的管理选项2、使用iptables添加新的规则:查看规则列表:设置默认策略:删除规则:清空规则:四、规则的匹配1、通用匹配2.隐含匹配TCP标记匹配ICMP类型匹配3.显式匹配MAC地址匹配IP范围匹配状态匹配4、主机型防火墙必配 一、iptables概述: Li
iptables(三)网络地址转换NAT
十五十六
08-29 5443
防火墙上的网络地址转换有3类 SNAT 源地址转换 DNAT 目的地址转换 PNAT 端口转发 SNAT 源地址转换,让本地网络中的主机通过某一特定地址访问外部网络,具体实现一般都在POSTROUTING链上,因为如果数据包是发给本机的。如果在PREROUTING链上做,不就是相当于浪费功夫吗吗,因为最后也是要发给自己,结果在发给自己之前还做了一层转换,所以有点浪费资源了。综合来...
iptables防火墙
weixin_50344807的博客
11-19 518
文章目录iptables的表,链结构数据包过滤的匹配流程 netfilter 1.位于Linux内核中的包过滤能体系 2.称为Linux防火墙的 “内核态” iptables 1.位于/sbin/iptables,用于管理防火墙规则的工具 2.称为Linux防火墙的 “用户态” 包过滤的工作层次 主要是网络层,针对IP数据包。 体现在对包内的IP地址,端口等信息的信息的处理上。 iptables的表,链结构 规则表 表的作用:容纳各种规则链。 表的划分依据:防火墙规则的作用相似。 默认包括4个规则表 raw
linux网关及安全应用-第3章(配置iptables防火墙)理论课教案-焦可伟.docx
12-23
linux网关及安全应用-第3章(配置iptables防火墙)理论课教案-焦可伟.docx
Kylin-Iptables防火墙配置方法
11-09
Kylin_Iptables防火墙配置方法
iptables
bie961208的博客
12-06 397
yum search iptables yum install iptables-services.x86_64 -y systemctl stop firewalld.service    ##停止火墙 systemctl mask firewalld.service    ##冻结火墙 一、相关概念 Iptables 利 用的是数据包过滤的机制,所以他会分析数据包的报头数据,根据
使用iptables进行NAT转发
boyemachao的专栏
07-01 2万+
SNAT转发(代理内网机器上网) 案例1 内网机器B 通过网关A访问百度,设置如下: 网关A配置两个IP ​ 公网ip IP:192.168.1.189/24 内网IP:1.1.1.1/24 开启路由 写入配置文件永久生效 echo 'net.ipv4.ip_forward=1' > /etc/sysctl.conf 强制刷新配置文件,使其生效 sysctl -p 防火墙设置(主要在POSTROUTING链上设置) 将流经网关的数据包的源地址改为192.168.1.189 i
熟练应用snat和dnat,掌握公网私网之间的连通(补充防火墙规则备份以及如何Linux抓包)
qq_45773660的博客
05-25 809
snat与dnat一、SNAT1.1 原理与应用1.2 SNAT转换前提条件1.3 开启snat1.4 转换固定的公网 IP 地址非固定的公网 IP 地址(动态)1.5 补充、DNAT2.1 原理与应用2.2 DNAT转换前提条件2.3 开启dnat2.4 转换发布内网的Web服务发布时修改目标端口2.5 补充三、防火墙规则备份和还原3.1导出备份表的规则3.2 导入规则3.3 设置自动还原规则四、抓包 一、SNAT 1.1 原理与应用 SNAT应用环境 局域网主机共享单个公网IP地址接入Intern
iptables防火墙详解
虎哥LoveDroid
02-16 2172
netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙iptables免费开源,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。iptables 是用来设置、维护和检查 Linux 内核的防火墙 IP 报文过滤规则和网络地址转换规则的。Linux 防火墙通常包含两部分,分别为 iptables 和 netfilter。iptables 是 Linux 管理防火墙规则的命令行工具,处于用户空间。
Iptables配置与查看
天之蓝
08-16 1341
  iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT -to-ports 8080 iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 -------------------------------------...
iptables命令、规则、参数详解
qq_40265822的博客
05-27 2万+
(table) 包含4个表: 4个表的优先级由高到低:raw-->mangle-->nat-->filter raw---RAW表只使用在PREROUTING链和OUTPUT链上,因为优先级最高,从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链上,RAW表处理完后,将跳过NAT表和ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了. filter---这个规则表是预设规则表,拥有 INPUT、FORWARD 和 OUTPUT 三个规...
iptables命令详解和举例(完整版)
热门推荐
09-07 5万+
1、防火墙概述 防火墙,其实说白了讲,就是用于实现Linux下访问控制的功能的,它分为硬件的或者软件的防火墙两种。无论是在哪个网络中,防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作,这就是防火墙的策略,规则,以达到让它对出入网络的IP、数据进行检测。 目前市面上比较常见的有3、4层的防火墙,叫网络层的防火墙,还有7层的防火墙,其...
linux修改upd53端口,Linux下利用iptables快速实现UDP/TCP端口转发
weixin_31992389的博客
05-10 503
很多时候我们搭建某些服务后,发现本地连接效果不给力,但是我们有一个国内机器,由于国内机器出去走BGP线路,国内机器连接国外效果好,本地连接国内效果也不错,这样我们就可以搭建一个跳板,从国内去连接国外服务器,常见的转发有rinetd、Haproxy、iptables、socat,前面2种只能转发TCP,后面TCP/UDP都可以转发。现阶段服务器本来就包含iptables,为啥还要安装其他的软件来转发...
iptables nat表含义_iptablesnat
weixin_39848970的博客
12-21 808
iptablesnat表可以实现SNAT, DNAT, 双向NAT和两次NAT.一. 源地址NAT1. 标准的SNATSNAT的目的是进行源地址转换,应用于POSTROUTING规则链.在路由决定之后应用.SNAT与出站接口相关,而不是入站接口. 语法如下:iptables -t nat -A POSTROUTING -o -j SNAT --to-source [-][:port-port]...
iptables防火墙配置与规则管理详解
iptables防火墙是Linux系统中一个强大的网络包过滤工具,其主要功能包括网络安全保护和网络流量隔离。它通过配置规则来控制进出系统的网络数据包,确保系统的安全性。本文档将详细介绍iptables的安装与配置过程,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值