当前位置：首页 > news >正文

霍山网站建设网站竞价推广托管公司

news 2025/7/31 17:05:59

霍山网站建设,网站竞价推广托管公司,济宁优化公司,中国空间站最新进展iptables防火墙SNAT和DNAT一、SNAT原理和应用1、SNAT原理2、SNAT应用环境3、SNAT转换前提条件二、SNAT案列1、实验需求2、实验环境3、实验目的三、DNAT原理和应用1、DNAT原理2、DNAT 应用环境3、DNAT转换的前提条件四、DNAT案列总结一、SNAT原理和应用 1、SNAT原理 SNAT原理:…

iptables防火墙SNAT和DNAT

- 一、SNAT原理和应用
- - 1、SNAT原理
  - 2、SNAT应用环境
  - 3、SNAT转换前提条件
- 二、SNAT案列
- - 1、实验需求
  - 2、实验环境
  - 3、实验目的
- 三、DNAT原理和应用
- - 1、DNAT原理
  - 2、DNAT 应用环境
  - 3、DNAT转换的前提条件
- 四、DNAT案列
- 总结

一、SNAT原理和应用

1、SNAT原理

SNAT原理:源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映射。

2、SNAT应用环境

SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)。

3、SNAT转换前提条件

局域网各主机已正确设置IP地址、子网掩码、默认网关地址，Linux网关开启IP路由转发。

临时开启

echo 1 >/proc/sys/net/ipv4/ip_forward  或    sysctl -w net.ipv4.ip forward=1

永久开启

vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1		#将此行写入配置文件
sysctl -P				#读取修改后的配置

SNAT转换1：固定的公网IP地址

#配置SNAT策略，实现snat功能，将所有192.168.10.0这个网段的ip的源ip改为10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens33 -j SNAT --to 10.0.0.1可换成单独IP   出站 外网网卡            外网IP
或
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10内网IP   出站 外网网卡                    外网IP或地址池

SNAT转换2：非固定的公网IP地址（共享动态IP地址）

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens33 -j MASQUERADE

二、SNAT案列

1、实验需求

配置SNAT（源地址转换）能够实现外网客户端机器访问内网区域web服务。

2、实验环境

7-0 作为内网服务器 IP地址 192.168.10.130  网卡nat模式
7-1 作为网关服务器，添加网卡 仅主机模式 
IP地址 内网192.168.10.132    
外网ens37 12.0.0.254 网卡是仅主机模式
7-2 作为外网服务器    IP地址 ens33 仅主机模式  安装httpd服务

3、实验目的

通过SNAT技术去访问外网

1、在网关服务器需要添加一块网卡，并且是仅主机模式
在这里插入图片描述

2、进到网卡配置文件的位置，进行对新添加的网卡配置进行修改

[root@localhost ~]# cd /etc/sysconfig/network-scripts/      ##进入到配置网卡的文件目录下
[root@localhost network-scripts]# cp ifcfg-ens33 ifcfg-ens37     ##复制
[root@localhost network-scripts]# vi ifcfg-ens37    ##进入修改文件
[root@localhost network-scripts]# systemctl restart network    ##重启网卡
[root@localhost network-scripts]# ip a    ##查看

在这里插入图片描述

3、修改内网服务器的网关，完了查看是否改成功。

4、首先要修改外网服务器的网卡模式,需要装httpd服务，再修改网卡配置

[root@localhost ~]#setenforce 0          ##关闭核心防护
[root@localhost ~]#systemctl stop firewalld.service   ##关闭防火墙
[root@localhost ~]#systemctl start httpd.service      ##启动httpd服务
[root@localhost ~]#ping 12.0.0.254

在这里插入图片描述

5、网关服务器，需要开启路由转发功能

[root@localhost network-scripts]# vim /etc/sysctl.conf 
[root@localhost network-scripts]# sysctl -p   ##读取修改后的配置
net.ipv4.ip_forward = 1      ##永久开启ip路由转发

在这里插入图片描述

6、在内网服务器验证，如下图。

[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens37 -j SNAT --to 12.0.0.254   
-t nat 指定使用nat表
-A POSTROUTING 添加在数据流出链，原因为在输出时添加只需要添加一次。
-s 指定源ip
-o 指定输出网卡为ens37时
-j 指定跳转到SNAT处理
--to 指定SNAT nat为12.0.0.254这个地址

在这里插入图片描述

三、DNAT原理和应用

1、DNAT原理

DNAT原理:目的地址转换，根据指定条件修改数据包的目的IP地址，保证了内网服务器的安全，通常被叫做目的映射。

2、DNAT 应用环境

在Internet中发布位于局域网内的服务器。

3、DNAT转换的前提条件

局域网的服务器能够访问Internet

网关的外网地址有正确的DNS解析记录

Linux网关开启IP路由转发

四、DNAT案列

1、在SNAT的基础上做

2、在内网服务器上需要安装httpd服务

3、在网关服务器上配置DNAT规则

iptables -t nat  -A PREROUTING -d 12.0.0.254 -i ens37 -p tcp  --dport 80 -j DNAT --to 192.168.10.130
从ens37网卡进入的流量目的地址为12.0.0.254目的端口为80的tcp协议NAT处理为访问192.168.10.130
-t nat 指定使用nat表
-A PREROUINTG 添加在路由选择前数据进入链，在输入时直接判断。
-d 指定目的ip
-i 指定输出网卡为ens37时
-p 指定协议为tcp协议
--dport 指定目的端口为80
-j 指定跳转到DNAT处理
--to 指定DNAT nat到192.168.10.130这个地址

在这里插入图片描述