nat模块随手记

为啥在pre_routing挂载点上做snat?

因为数据包经过pre_routing点后,协议栈会检测数据包的目的ip,若这之前没有进行snat并发送,网络协议栈会将这个数据包丢弃

目的ip是国内源ip用国外的

因为源ip是伪造的,若伪造的ip真实存在,扫描系统无法收到响应数据包,g设备相当于一台工作在国内外出入口的路由器,可以对满足条件的数据包进行拦截。

时间: 2024-12-08 22:43:50

nat模块随手记的相关文章

Linux netfilter 学习笔记 之十二 ip层netfilter的NAT模块代码分析

本节主要是分析NAT模块相关的hook函数与target函数,主要是理清NAT模块实现的原理等. 1.NAT相关的hook函数分析 NAT模块主要是在NF_IP_PREROUTING.NF_IP_POSTROUTING.NF_IP_LOCAL_OUT.NF_IP_LOCAL_IN四个节点上进行NAT操作,在上一节中我们知道nat表中只有PREROUTING.POSTROUTING.LOCAL_OUT三条链,而没有NF_IP_LOCAL_IN链,所以不能创建在LOCAL_IN hook点的SNAT

Linux netfilter 学习笔记 之十一 ip层netfilter的NAT模块初始化以及NAT原理

1.NAT的原理 NAT会修改数据包的ip层的源或者目的ip地址.在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能. 1.1 SNAT 源目的地址转换,即对ip数据包的源ip地址进行转换操作,典型的应用即是网关,网关的lan侧会下挂至少两台设备,而这两台设备的ip地址都是lan侧地址,而lan侧设备又要访问公网,这就需要SNAT大展身手了,通过将lan侧发送的ip数据包的源ip地址转换成公网地址即可以访问公网了. 1.2 DNAT 目的地址转换主要是将ip数据包的目的ip地址进行修改

openstack iptables nat模块引发云主机访问redis超时问题解决办法

问题描述: 电商新申请的云主机访问同机房的redis ,出现小部分超时,时段时序,很是头疼,经过排查,宿主机iptables 规则导致,卸载iptables 解决不了问题,需要彻底卸载iptalbes nat 模块,搞定! 操作方法: # rmmod ip_tables ERROR: Module ip_tables is in use by iptable_filter rmmod ip_tables 提示已使用,采用modprobe -r 强制卸载 # modprobe -r iptable

在Linux上实现一个可用的stateless双向静态NAT模块

关于Linux上如何配置NAT的资料已经不少,可谓铺天盖地!本文与此无关.本文提供一种iptables之外的方式.iptables?不!why?因为iptables配置的NAT是stateful的,它的实现依赖一个叫做conntrack的模块,什么是conntrack?Oh,NO!这可是我的专长,但我不想在本文中说它,认识我的人都知道,我扯这个话题我能扯上12个小时...都还扯不完.也许你不知道什么是stateful NAT,但是如果你是一个有心人,或者说是一个技术还算精湛的Linux网络管理员

kvm 网络配置之nat、用户模式

接上篇,kvm的网络配置,参考书本:<kvm虚拟化技术 实现以及原理解析> 2. nat模式 nat模式自动获取ip需要dhcp服务,nat功能本身需要ip伪装,既然是一个网络,所以还需要虚拟网桥功能,所以需要的软件如下: dhcp功能:dnsmasq ip伪装:iptables 虚拟网桥:bridge-utils 实现: (1)yum install dnsmasq iptables bridge-utils -y#如果iptables是为内核的netfilter模块提供规则,如果内核不支持

从Linux 2.6.8内核的一个TSO/NAT bug引出的网络问题排查观点(附一个skb的优化点)

梦中没有错与对,梦中没有恨和悔...最好闭上你的嘴.这样才算可爱...我不会说:这不公道,我不能接受.我会用朴素的文字记录点点滴滴,早上4点多起来,一气呵成最近的收获与评价,愤慨与忏悔. 四年多前的一个往事 大约在2010年的时候,我排查了一个问题. 问题描写叙述例如以下: 服务端:Linux Kernel 2.6.8/192.168.188.100client:Windows XP/192.168.40.34业务流程(简化版):1.client向服务端发起SSL连接2.数据传输 现象:SSL握

xtables-addons中的一个让我吃了一惊的模块DNETMAP

这篇文章,我不想展开,本来我并不想写这么一篇文章,由于前段时间,我写了一个static-stateless-2-way-NAT-on-Linux-with-iptables发现自己重新造了轮子之后,我不得不讴歌一下自己.下载xtables-addons,编译,安装,然后man xtables-addons,你会发现:   DNETMAP       The DNETMAP target allows dynamic two-way 1:1 mapping of IPv4 subnets.  Si

Netruon 理解(11):使用 NAT 将 Linux network namespace 连接外网

学习 Neutron 系列文章: (1)Neutron 所实现的虚拟化网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)Neutron OpenvSwitch + GRE/VxLAN 虚拟网络 (4)Neutron OVS OpenFlow 流表 和 L2 Population (5)Neutron DHCP Agent (6)Neutron L3 Agent (7)Neutron LBaas (8)Neutron Security Group (9)Neutro

BT网络中DHT和UPnp的解释(转)

DHT 类似Tracker的根据种子特征码返回种子信息的网络.DHT全称叫分布式哈希表(Distributed Hash Table),是一种分布式存储方法.在不需要服务器的情况下,每个客户端负责一个小范围的路由,并负责存储一小部分数据,从而实现整个DHT网络的寻址和存储.新版BitComet允许同行连接DHT网络和Tracker,也就是说在完全不连上Tracker服务器的情况下,也可以很好的下载,因为它可以在DHT网络中寻找下载同一文件的其他用户.BitComet的DHT网络协议和BitTor