标签：iptables DNAT SNAT ip 服务器 root localhost

Linux防火墙iptables之SNAT与DNAT

目录

• Linux防火墙iptables之SNAT与DNAT
  • SNAT策略及应用
    • SNAT策略概述
      • SNAT策略典型应用环境
      • SNAT策略原理
      • SNAT工作原理
      • SNAT转换前提条件
    • 测试SNAT
    • 小知识扩展
  • DHAT原理及应用
    • DNAT应用环境
    • DNAT原理
    • DNAT转换前提条件
• 发布局域网内部的OpenSSH服务器， 外网主机需使用250端口进行连接
  • • 测试DNAT
  • 规则的导出、导入
• tcpdump—Linux抓包

SNAT策略及应用

SNAT策略概述

SNAT策略典型应用环境

• 局域网主机共享单个公网ip地址接入internet

SNAT策略原理

• 源地址转换，source Network Addresss Translation

• 修改数据包的源地址

SNAT工作原理

• 数据包从内网发送到公网时，SNAT会把数据包的源ip由私网ip转换成公网ip，当相应的数据包从公网发送到内网时，会把数据包的目的ip由公网转换为私网ip。

SNAT转换前提条件

• 局域网各主机以真确设置ip地址、子网掩码、默认网关地址。

• linux网关开启ip路由转发

临时打开

echo 1 >/proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip forward=1

永久打开

vim /etc/ sysctl. conf     #编辑配置文件
net. ipv4.ip_ forward = 1				#将此行写入配置文件
sysctl -P				#读取修改后的配置

NAT转换1:固定的公网IP地址

#配置SNAT策略，实现snat功能，将所有192.168.100.0这个网段的ip的源ip改为10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.239.0/24 -o ens36 -j SNAT --to 12.0.0.1
                   修改源地址            可换成单独IP   出站外网网卡            外网IP
或
iptables -t nat -A POSTROUTING -s 192.168.239.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10 
                                     内网IP         出站外网网卡                    外网I

SNAT转换2:非固定的公网IP地址(共享动态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

测试SNAT

实验拓扑图

配置网关服务器（192.168.239.200/12.0.0.254）的相关配置

1.配置双网卡ens33作为内网ipens37作为外网网关路由器

[root@localhost network-scripts]# vim ifcfg-ens33 #编辑内网配置文件

[root@localhost network-scripts]# vim ifcfg-ens37  #编辑外网网卡配置文件

[root@localhost ~]# systemctl restart network #重启网卡服务

[root@localhost ~]# systemctl stop firewalld.service  #关闭防火墙
[root@localhost ~]# setenforce 0  #临时关闭

2.配置内网客户机（192.168.239.200）相关配置

3.配置外网服务器（12.0.0.100）的相关配置

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33  #编辑外网配置文件

3.1搭建本地yum仓库

[root@localhost ~]# mount /dev/sr0 /mnt
mount: /dev/sr0 写保护，将以只读方式挂载
[root@localhost ~]# cd /etc/yum.repos.d
[root@localhost yum.repos.d]# ls
CentOS-Base.repo  CentOS-Debuginfo.repo  CentOS-Media.repo    CentOS-Vault.repo
CentOS-CR.repo    CentOS-fasttrack.repo  CentOS-Sources.repo
[root@localhost yum.repos.d]# mkdir 123.txt
[root@localhost yum.repos.d]# mv  *.repo 123.txt/
[root@localhost yum.repos.d]# vim file.repo

[root@localhost yum.repos.d]# yum clean all && yum makecache #清除缓存建立源数据

[root@localhost yum.repos.d]# yum install httpd -y  #安装http网页服务

[root@localhost yum.repos.d]# systemctl restart httpd  #开启服务
[root@localhost yum.repos.d]# netstat -natp |grep httpd  #查看服务是否开启
tcp6       0      0 :::80                   :::*                    LISTEN      7420/httpd         

4.内网客户机ping外网服务器及自己主机

5.此时使用内网客户机浏览器输入http://12.0.0.12既可以看到外网的http服务页面

6.外网服务器查看跟踪http访问日志

7.网关服务器开启SNAT

[root@localhost ~]# vim /etc/sysctl.conf  #编辑配置文件

[root@localhost ~]# sysctl -p   #读取修改后的配置文件
net.ipv4.ip_forward = 1

8.配置网关服务器的iptables规则

搭建本地yum残酷并安装安装iptables防火墙和iptables-services管理程序

yum install iptables iptables-services -y#安装iptables防火墙和iptables-services管理程序
systemctl start iptables.service

9.查看网关服务器的iptables规则并清除

10.添加 SNAT转换∶固定的公网IP地址

11.客户端重新访问外网服务器，再查看外网的http访问日志

实现了地址转换

小知识扩展

• 一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网。

• 专业的事情要让专业的设备去干，让专业的硬件防火墙或专业的路由器干会更好

DHAT原理及应用

DNAT应用环境

• 在Internet中发布位于局域网内的服务器

DNAT原理

• 修改数据包的目的地址

DNAT转换前提条件

• 局域网的服务器能够访问Internet

• 网关的外网地址有正确的DNS解析记录

• Linux网关开启IP路由转发

vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1 
sysct1 -p

DNAT转换1∶ 发布内网的Web服务

把从ens33进来的要访问web服务的数据包目的地址转换为192.168.239.150

iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.12 -p tcp--dport 80 -j DNAT --to 192.168.239.150
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.12 -p tcp--dport 80-j DNAT --to-destination 192.168.239.150
							 入站|外网网卡 | 外网ip							内网服务器ip

DNAT转换2∶ 发布时修改目标端口

2.5DNAT转换2∶ 发布时修改目标端口

发布局域网内部的OpenSSH服务器， 外网主机需使用250端口进行连接

#发布局域网内部的OpenSSH服务器， 外网主机需使用250端口进行连接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.239.150:22

测试DNAT

实验拓扑图

在上面的SNAT实验进行修改

1.将原有的vin7内网改为外网

2.将之前的外网服务器改为内网客户机

[root@localhost httpd]# vim /etc/sysconfig/network-scripts/ifcfg-ens33   #修改网卡配置文件

[root@localhost httpd]# systemctl restart network

查看网关服务器的iptables规则并清除

在网关服务器添加iptables规则

内网服务器重启http服务器

[root@localhost httpd]# systemctl restart httpd

测试外网客户机是否可以访问内网服务器http服务

在内网服务器http服务站点目录新建目录再次测试是否可以访问

[root@localhost httpd]# cd /var/www/html/
[root@localhost html]# mkdir centos7

规则的导出、导入

自定义导出备份规则

导入备份文件内的规则

tcpdump—Linux抓包

tcpdump tcp-i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

（2）-i ens33 ∶只抓经过接口ens33的包

（3）-t ∶不显示时间戳

（4）-s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包

（5）-c 100 ∶只抓取100个数据包

（6）dst port ! 22 ∶不抓取目标端口是22的数据包

（7）src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析

示例：

标签：iptables,DNAT,SNAT,ip,服务器,root,localhost
来源： https://www.cnblogs.com/gengbo/p/16194199.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。