网络地址转换实验

1.概念

网络地址转换用于控制网络封包的表面源或所需目标地址。

基于主机的简单防火墙只具有 INPUT 链中的规则,以 ACCEPT 或 REJECT 封包,但是在专用(不可路由)网络的网关或路由器上,通常使用 PREROUTING 和 POSTROUTING 链修改封包。nat 表使用三条链: PREROUTING 、 OUTPUT 和 POSTROUTING 。当路由器修改通过其的网络通信的源或目标 IP 地址或端口时,进行网络地址转换。它用于映射使用单个 IP 地址的计算机网络,以使其可以共享单个公共地址并隐藏其内部网络( MASQUERADE 或 SNAT )。它还用于将发送到一个 IP 地址的通信重定向到另一个 IP 地址。此目标 NAT 用于端口转发(通过防火墙外部的端口至防火墙内部的服务)并用于透明地重定向至代理服务。

MASQUERADE 目标使源 IP 地址更改为与开启防火墙的接口的 IP 相匹配。目标将响应发送回该接口的 IP地址。连接跟踪自动将返回通信转换为匹配的内部 IP 地址和端口(基于连接两端的 IP 地址和端口进行跟踪)。 SNAT 目标通过选项 --to-source 使源 IP 地址更改为指定的 IP 地址。

# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

DNAT 目标通过— to-destination 选项使目标 IP 地址更改为与指定的 IP 地址相匹配。路由器将封包转发到该地址;这是在做出路由决策之前使用链的原因。连接跟踪自动将响应发送回具有原始 IP 地址的原始源而不是新源。

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.254

DNAT 示例:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.0.250

# iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.0.200:3128 (重定向)

SNAT 示例:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (伪装)

# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.253

2.filter表  只允许sshd,dns,http,https,ftp服务

vim /etc/vsftpd/vsftpd.conf

pasv_max_port=5000

pasv_min_port=5000

iptables -F

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 953 -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 5000 -j ACCEPT

iptables -A INPUT -m state --state NEW -s 172.25.6.254 -p tcp --dport 1024:  -j ACCEPT

3.NAT表  内外网访问

    3.1实验环境:

真机 172.25.254.6        (外网)

虚拟机一    172.25.254.106/172.25.6.1

虚拟机二    172.25.6.10      (内网)


    3.2内网访问外网

   3.2.1虚拟机一配置

[[email protected] ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1    #开通内核路由功能

[[email protected] ~]# sysctl -p

[[email protected] ~]# iptables -F

[[email protected] ~]#  iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106##添加内网到外网的策略

      3.2.2虚拟机二配置

[[email protected] ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 

GATEWAY=172.25.6.1

[[email protected] ~]# /etc/init.d/network restart

      3.2.3测试:虚拟机二可ping通254网段 172.25.254.6

[[email protected] ~]# ping 172.25.254.6   

PING 172.25.254.6 (172.25.254.6) 56(84) bytes of data.

64 bytes from 172.25.254.6: icmp_seq=1 ttl=64 time=0.102 ms

64 bytes from 172.25.254.6: icmp_seq=2 ttl=64 time=0.127 ms

64 bytes from 172.25.254.6: icmp_seq=3 ttl=64 time=0.164 ms

    3.3外网访问内网

  3.3.1虚拟机一配置

[[email protected] ~]# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106  ##添加外网内网的策略

 3.3.2虚拟机二    ### 添加测试页

[[email protected] ~]# vim /var/www/html/index.html 

test page

[[email protected] ~]# /etc/init.d/httpd start

     3.3.3真机端测试



本文出自 “技术人生,简单不简单” 博客,请务必保留此出处http://willis.blog.51cto.com/11907152/1854215

时间: 2024-10-18 16:25:43

网络地址转换实验的相关文章

路由器NAT网络地址转换

实验名称:配置静态网络地址转换 实验拓扑: 实验步骤: (1)设置路由器接口地址,主机和服务器的IP地址及网关 (2)配置路由器Router0的静态地址映射 (3)验证 总结:实验只需对路由器1进行设置,因为对地址进行转换之后,对路由器2来说就相当于一个直连的路由,所以不需对路由器2进行配置 实验名称:动态网络地址转换 实验拓扑: 实验步骤: (1)设置路由器接口地址,主机和服务器的IP地址及网关 (2)配置路由器Router0的动态地址映射 (3)验证 总结:实验中遇到的问题就是容易忘记访问控

CCNP路由实验之十五 NAT(网络地址转换)

?? 众所周知,要让自己的电脑连上Internet,必须要到运营商(ISP)申请一个上网账号,根据此账号申请自己的宽频业务(拨号上网.商业固定IP等等),当你完成申请后,就可以通过拨号拿到一个全域唯一的公网IP,又或者直接是一个商业宽频的固定IP,(注意,其实ISP是把公网IP租给用户的,当用户不租时他们可以租给其他电脑,以提高公网IP使用率)然后用户通过这个在Internet网络上可被路由的合法IP地址,与Internet上其他的用户或服务进行通信,其实这个公网IP就是实现你可以找到别人,别人

Packet Tracer 5.2实验(十四) 网络地址转换NAT配置

Packet Tracer 5.2实验(十四) 网络地址转换NAT配置 一.实验目标 理解NAT网络地址转换的原理及功能: 掌握静态NAT的配置,实现局域网访问互联网: 二.实验背景 公司欲发布WWW服务,现要求将内网Web服务器IP地址映射为全局IP地址,实现外部网络可访问公司内部Web服务器. 三.技术原理 网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中.原因很简单,NAT不仅完美解决了IP地址不足

网络地址转换NAT应用实验

网络地址转换NAT实验 实验需求:1.pc1属于vlan10和pc2属于vlan20.2.Pc1和pc2通过DHCP获得ip信息.3.所有局域网成员都通过NAT上外网.4.R2可以远程管理sw1和sw2. 实验步骤:1.在sw1和sw2上设置vlan,基于端口设置vlan.sw1(config)#vlan 10,20 ###创建vlan10和vlan20.sw1(config-vlan)#exitsw1(config)#int f1/0 ###将端口添加到vlan10里面sw1(config-i

第11章 拾遗1:网络地址转换(NAT)和端口映射

1. 网络地址转换(NAT) 1.1 NAT的应用场景 (1)应用场景:允许将私有IP地址映射到公网地址,以减缓IP地址空间的消耗 ①需要连接Internet,但主机没有公网IP地址 ②更换了一个新的ISP,需要重新组织网络时,可使用NAT转换 ③需要合并两个具有相同网络地址的内网 (2)NAT的优缺点 优点 缺点 ①节约合法的公网IP地址 ②减少地址重叠现象 ③增加连接Internet的灵活性 ④增加内网的安全性 ①地址转换产生交换延迟,也就是消耗路由器性能. ②无法进行端到端的IP跟踪 ③某

NAT网络地址转换模拟过程

原理图,如图1 图1 以下为配置NAT网络地址转换的实验: eNSP模拟图,如图2 图2 Step1.给路由器的每个接口赋予一个地址,如图3,图4 图3 图4 AR1和AR2中添加路由表项,如图5,图6 图5 图6 在IP为202.16.3.4的主机处抓包,结果如图7所示,当IP为专用地址的192.168.1.10的主机访问全球IP地址202.16.3.4的主机,经过NAT路由器转换后使用公网IP地址访问公网的IP. 图7

NAT网络地址转换

实验11:NAT网络地址转换 一. 实验目标 通过Cisco Packet Tracer来实现NAT网络地址转换的三种转换:静态转换.动态转换和端口多路复用 . 二.实验环境和拓扑 window 7操作系统,Cisco Packet Tracer软件. 拓扑结构见下图: 三.实验步骤 1.按照拓扑结构连接网络,并配置各个接口的IP,子网掩码与网关.其中路由router 2不要设置路由表,路由router 1设置默认路由. 2.实现NAT静态转换 全局模式:ip nat inside source

CISCO路由器网络地址转换(NAT)

实验名称:思科路由器网络地址转换(NAT) 实验目的:实现所有内网IP使用少量的公网IP连接Internet 实验介绍: 借助NAT技术,内网私有地址向路由器发送数据包时,私有地址被转换成合法的公网IP地址,从而实现大量内网计算机通过少量公网IP地址和互联网通信的需求.NAT技术解决了IP地址枯竭问题,还提高了内网的安全性. 实验拓扑 实验配置步骤 一.设置计算机IP地址 1.PC1设置IP地址 2.PC2设置IP地址 3.PC3设置IP地址 二.配置路由器 1.配置R1 Router#conf

NAT静态网络地址转换

NAT静态网络地址转换第一个实验,静态网络地址转换.原理:将内部网络的私有IP地址转换为公用合法的IP地址,IP地址的对应关系是一对一的,而且是不变的,即某个私有IP地址只转换为某个固定的合法的外部IP地址.借助于静态转换,能实现外部网络对内部网络中某些特定设备(服务器)的访问.实验目的:把两台C1和C2主机的私有IP地址的分别转换为公用合法的IP地址并进行测试转换结果. 实验步骤:1.给sw二层交换机配置为全双工模式且关闭他的路由功能2.为R1路由器的两个端口配置IP并在f0/0的端口 上开启