【linux】iptables防火墙SNAT和DNAT的简单演示

首先说明SNAT和DNAT都大致相当于网络中的NAT和PAT协议,本实验是通过用一台linxu虚拟机来模拟内网网关,并且利用linux上的iptables防火墙策略,达到地址转换和端口映射的目的。

SNAT

实验结构:

真机----------------(v1)网关服务器s1(v2)--------------(v2)外网服务器s2

开2台虚拟机linux,分别模拟s1和s2。

其中,s1上另增加一块网卡,使用vmnet1与真机相连。

使用vmnet2与外网服务器的s2的vmnet2相连。

IP地址规划

真机:

vmnet1:192.168.80.5/24

s1:

vmnet1:192.168.80.20/24

vmnet2:192.168.90.1/24

s2:

vmnet2:192.168.90.22/24

实验步骤:

  1. 设置s1,s2的网卡参数

vi /etc/sysconfig/network-scripts/ifcfg-eth0

设置如下

继续设置另一块网卡的参数

首先ifconfig查看一下eth1的mac地址,然后

cd /etc/sysconfig/network-scripts/

复制模板

cp -p ifcfg-eth0 ifcfg-eth1

修改

vi  ifcfg-eth1

设置如下

在s1上开启路由转发功能

vi /etc/sysctl.conf

设置s2的网卡参数

s2

vi /etc/sysconfig/network-scripts/ifcfg-eth1

关闭s2的防火墙

service iptables stop

将真机vmnet1的IP地址设置为192.168.80.5/24 ,网关设置为192.168.80.20

2.在s1上设置防火墙,使得s1可以做pat,将真机地址192.168.80.5转换为外网口

地址192.168.90.1

iptables –t nat –I POSTROUTING –s 192.168.80.0/24 –o eth1 –j SNAT --to

192.168.90.1

注释:-t 规则表      -I   规则链    -s 源地址   -o出站接口   -j  策略

测试结果,在真机上ping 192.168.90.22

是通的。

可以在s2上搭建一个ftp,来观察结果。

s2

service vsftpd start

然后在真机上登录 ftp

在s2上查看一下是谁在登录

s2

netstat –anpt

登录自己的主机地址为192.168.90.1  表明pat已经转换地址成功。

DNAT

实验结构:

真机(模拟外网)(v1)----------(vmnet1)网关服务器s1(vmnet2)---- -----(vmnet2)内网服务器s2

IP地址的规划依旧不变

在s1上做修改

s1

首先清空原来的防火墙配置

iptables –F

配置新的DNAT策略

iptables –t nat –A PREROUTING –i eth0 –d 192.168.80.20 –p tcp --dport 21 –j DNAT

--to 192.168.90.22

注释:-t 规则表      -A   规则链     -i 入站接口    -d 目标地址    –p协议                     --dport  目标端口           -j  策略

测试,用真机ftp 192.168.90.22

成功登录

在s2上netstat -anpt

验证登录的为真机IP地址192.168.80.5。

实验结束。

时间: 2024-10-12 03:36:04

【linux】iptables防火墙SNAT和DNAT的简单演示的相关文章

详解iptables防火墙SNAT、DNAT地址转换工作原理及使用

NAT简介 NAT是将私有IP地址通过边界路由转换成外网IP地址,在边界路由的NAT地址转换表中记录下这个转换,当数据返回时,路由使用NAT技术查询NAT转换表,再将目标地址替换成内网用户IP地址. SNAT策略 局域网主机共享单个公网IP地址接入Internet(内网的地址改成公网) DNAT策略 目标地址转换 SNAT.DNAT工作原理 SNAT 局域网PC封装源.目ip(源地址:192.168.100.77,目的地址:172.16.16.101),到达网关路由器,SNAT将源地址转换成唯一

Linux iptables防火墙添加删除端口

一.  Linux 防火墙的启动和关闭1.1 启动命令[[email protected] ~]# service iptables stopFlushing firewall rules:                                   [  OK  ]Setting chains to policy ACCEPT: filter nat                [  OK  ]Unloading iptables modules:                  

网关服务器iptables的SNAT与DNAT地址转换

SNAT(Source Network Address Translation 源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定条件修改数据包的源IP地址.DNAT(Destination Network Address Translation 目标地址转换)是Linux防火墙的另一种地址转换操作,同样也是iptables命令中的一种数据包控制类型,其作用是可以根据指定条件修改数据包的目标IP地址和目标端口. 实验描述 需求分析:

firewall之iptables ,SNAT,DNAT

简述防火墙 防火墙简单来说就是起隔离作用的网络防御机制,它分为软件防火墙和硬件防火墙.无论哪一种都是工作在网络的边缘.那么防火墙怎么隔离呢,又隔离什么呢? 防火墙一般分为内核空间和用户空间,应用都是在用户空间中.对于客户端访问时,先访问内核空间,然后进入用户空间.对于主机防火墙,它的匹配规则一定设置在内核空间.一般client发送报文访问本主机,报文先通过一个进口进入内核空间,然后进入用户空间,用户空间检测报文,在重新进入内核空间,从内核的出口出去,离开防火墙,返回给client. 对于网络防火

LINUX IPTABLES 防火墙配置

0.iptables(ACL)的匹配原则: 与cisco等一致,从上到下依次匹配. 1.iptables的基本用法:. (1)命令格式 iptables [–ttable] command [match] [target] table:表,有三个:filter(过滤) nat(转发) mangle(更改) 表的组成格式:链表. command:命令,有很多: -A –append:添加 -D –delete:  删除 -G –policy:  策略 -N –new-chain 链表 -L –li

Linux iptables防火墙详解 + 配置抗DDOS攻击策略实战

inux iptables防火墙详解 + 配置抗DDOS攻击策略实战 Linux 内核中很早就实现了网络防火墙功能,在不同的Linux内核版本中,使用了不同的软件实现防火墙功能.在2.0内核中,防火墙操作工具叫:ipfwadm在2.2内核中,防火墙操作工具叫:ipchains在2.4以后的内核,防火墙操作工具叫:iptables ipfwadm 和 ipchains 比较老,已成历史版本,本章主要介绍Iptables 一.iptable 操作命令参数详解 -A  APPEND,追加一条规则(放到

linux基础之iptables (二) SNAT和DNAT

iptables要实现内网和外网通信,有两种方式: nat: Network Address Translation,安全性,网络层+传输层 proxy: 代理,应用层 nat: SNAT: 只修改请求报文的源地址 DNAT:只修改请求报文的目标地址 nat表: PREROUTTING: DNAT OUTPUT POSTROUTING: SNAT 实例: 以三台电脑搭建环境,其中一台作为外网主机,一台作为网关,一台作为内网主机 1. 以192.168.1.4这台电脑作为连接内网和外网的接口,et

Linux iptables防火墙原理与常用配置

Linux系统中,防火墙(Firewall),网址转换(NAT),数据包(package)记录,流量统计,这些功能是由Netfilter子系统所提供的,而iptables是控制Netfilter的工具.iptables将许多复杂的规则组织成成容易控制的方式,以便管理员可以进行分组测试,或关闭.启动某组规则.iptable只读取数据包头,不会给信息流增加负担,也无需进行验证. iptables结构 iptables由4表.5链和用户在链内写入的各种规则所组成. 1.表:容纳各种规则链: 表是按照功

iptables的SNAT和DNAT地址转换配置实例

首先介绍一下实验环境,一共打开三台虚拟机,win7客户机作为内部局域网的终端设备:中间的Linux-2作为内部局域网的网关以及连接外网的设备:Linux-1作为外网的web服务器设备. (其实这个实验是接着上次的实验继续做的) 查看Linux-2的网卡属性需要配置两块网卡(不知怎么添加的看上一篇博客),一块作为外网连接,一块作为内部的网卡.IP地址配置如下. 两块网卡配置完成,测试一下跟另外两台PC机是否能够互联互通. 此时开启Linux-1的web服务,关闭SELinux策略,清空防火墙条目.