IP tables防火墙:SNAT策略、DNAT策略

SNAT+DNAT 策略简介:

·SNAT(源地址转换):是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据指定调教修改数据包的源IP地址

内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部

·SNAT策略只能用在nat表的POSTROUTING链,使用iptables命令编写SNAT策略时,需要结合‘--to-source IP’选项来指定修改后的源IP地址

 

·DNAT(目标地址址转换):是Linux防火墙的另一种地址转换操作,同样也是iptables命令中的数据包控制类型,其作用是—根据指定条件修改数据包的目标IP地址和目标端口

当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部做地址转换,此转换称为DNAT,主要用于内部服务对外发布。

·DNAT策略只能用在nat表的PREROUTING链,使用使用iptables命令编写DNAT策略时,需要结合‘--to-destination IP地址’选项来指定内部服务器的IP地址

 

SNAT+DNAT注意事项:

·SNAT策略只能用在nat表的POSTROUTING链;

·SNAT将内部地址的私有IP转换为公网的公有IP

·SNAT用于内部共享IP访问外部

·DNAT策略只能用在nat表的PREROUTING链;

·DNAT主要用于内部服务对外发布

 

SNAT+DNAT实现前准备:


系统        其他


IP 地址


用途


Win 7


192.168.100.40


充当内网web服务器


Linux  

 

(CentOS7)


ens33:192.168.100.1

 

ens36:12.0.0.1


充当防火墙

ens33:当作内网网关

ens36:当作外网网关


Linux (RedHat6)


12.0.0.12


充当外网服务器(httpd)

 

SNAT+DNAT策略开始

·因为Linux(CentOS7)作为防火墙网关,需要添加一块网卡,并对其进行IP配置!以上表格已注明IP地址和作用

·win7作为内网服务器,了为之后的验证,为它建立一个网站服务,可以让外网访问此网站:

·Linux(RedHat6)作为外网服务器,同样也安装httpd服务。并且修改IP地址为:12.0.0.12  网关为:12.0.0.1

执行以下命令:

yum install httpd -y //安装httpd服务

service httpd start //启动httpd服务

service iptables stop //关闭防火墙

setenforce 0 //关闭selinux

 

·Linux(CentOS7)从当防火墙,把iptables的所有规则删除包括nat表里的规则:

·对于Linux服务器,IP转发是实现路由功能的关键所在,若要Linux主机作为网关设备,就必须开启路由功能,修改配置文件:vim /etc/sysctl.conf

在执行命令:sysctl -p  //读取修改后的配置

·内网win7需要访问外网RedHat6的httpd服务,那么就需要做SNAT策略,由下图说明命令所代表含义:

·现在外网RedHat6需要访问内网win7的web服务,那么就需要做DNAT策略,由下图说明命令所代表含义:

验证:

内网访问外网:

查看httpd的日志文件,可以看到是哪个IP 访问httpd:

实验成功。

 

总结:

·在配置防火墙或者路由acl策略时要注意这两个NAT一定不能混淆。

·注意内网和外网的网卡名称,在配置时不要混淆

·DNAT策略只能用在nat表的PREROUTING链

·SNAT策略只能用在nat表的POSTROUTING链

原文地址:http://blog.51cto.com/13746824/2152827

时间: 2024-09-28 22:01:14

IP tables防火墙:SNAT策略、DNAT策略的相关文章

【linux】iptables防火墙SNAT和DNAT的简单演示

首先说明SNAT和DNAT都大致相当于网络中的NAT和PAT协议,本实验是通过用一台linxu虚拟机来模拟内网网关,并且利用linux上的iptables防火墙策略,达到地址转换和端口映射的目的. SNAT 实验结构: 真机----------------(v1)网关服务器s1(v2)--------------(v2)外网服务器s2 开2台虚拟机linux,分别模拟s1和s2. 其中,s1上另增加一块网卡,使用vmnet1与真机相连. 使用vmnet2与外网服务器的s2的vmnet2相连. I

详解iptables防火墙SNAT、DNAT地址转换工作原理及使用

NAT简介 NAT是将私有IP地址通过边界路由转换成外网IP地址,在边界路由的NAT地址转换表中记录下这个转换,当数据返回时,路由使用NAT技术查询NAT转换表,再将目标地址替换成内网用户IP地址. SNAT策略 局域网主机共享单个公网IP地址接入Internet(内网的地址改成公网) DNAT策略 目标地址转换 SNAT.DNAT工作原理 SNAT 局域网PC封装源.目ip(源地址:192.168.100.77,目的地址:172.16.16.101),到达网关路由器,SNAT将源地址转换成唯一

防火墙SNAT和DNAT

内核参数 开启内核参数为1[[email protected] ~]# cat /proc/sys/net/ipv4/ip_forward0临时有效[[email protected] ~]# echo 1 > /proc/sys/net/ipv4/ip_forward[[email protected] ~]# cat /proc/sys/net/ipv4/ip_forward1长期有效[[email protected] ~]# vim /etc/sysctl.conf 写入net.ipv4

Linux系统SNAT与DNAT策略应用

SNAT(源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包类型,其作用是根据指定条件修改数据包的源IP地址 DNAT(目标地址转换)是Linux防火墙的另一种地址转换操作,同意是iptables命令中的一种数据包类型,其作用是根据指定条件修改数据包的目标IP地址和目标端口 实验环境:一台Linux6.5作为外网web服务器,地址为12.0.0.12 一台Linux6.5作为防火墙和内外网的网关,两个地址分别为192.168.100.1 ; 12.0.0.1

SNAT、DNAT、NPT

SNAT 源地址转换 ------------- 内网访问外网 问题:这里我们模拟内外网的访问,网关互指,中间网关打开ip_forward,但实际的网络访问环境中,外网客户会把网关指向你公司的网关吗? 张三 李四 王五 内网 iptables 网关 外网 (其实就是模拟一个路由器) 192.168.1.128 --------------> 192.168.1.1 vmnet1 网关指向 打开ip_forward 172.16.2.9 eth0 172.16.2.10 SIP:192.168.1

如何区分SNAT和DNAT

从定义来讲它们一个是源地址转换,一个是目标地址转换.都是地址转换的功能,将私有地址转换为公网地址.要区分这两个功能可以简单的由连接发起者是谁来区分:       内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部.       当内部需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接

iptables实现网络防火墙功能,SNAT以及DNAT功能

iptables实现网络防火墙功能,SNAT以及DNAT功能 一.网络防火墙的实现 1.环境准备: 虚拟机vmware workstation 11 系统CentOS 7.3                软件包安装:yum install httpd vsftpd tcpdump 2.前提条件 2.1各主机正确设置IP地址/子网掩码  参考设置: 主机A 网卡ens33:10.0.0.110/24 内网客户端 主机B 网卡ens33:10.0.0.111/24 ens37:172.16.252

firewall之iptables ,SNAT,DNAT

简述防火墙 防火墙简单来说就是起隔离作用的网络防御机制,它分为软件防火墙和硬件防火墙.无论哪一种都是工作在网络的边缘.那么防火墙怎么隔离呢,又隔离什么呢? 防火墙一般分为内核空间和用户空间,应用都是在用户空间中.对于客户端访问时,先访问内核空间,然后进入用户空间.对于主机防火墙,它的匹配规则一定设置在内核空间.一般client发送报文访问本主机,报文先通过一个进口进入内核空间,然后进入用户空间,用户空间检测报文,在重新进入内核空间,从内核的出口出去,离开防火墙,返回给client. 对于网络防火

SNAT和DNAT

SNAT和DNAT简介 SNAT:局域网共享一个公网IP接入lnternel,好处如下 1.保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被攻击的可能. 2.Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT. 3.省钱,公网地址付费,使用SNAT只需要一个公网ip就可以满足几百人同时上网. DNAT:向internel发布内网服务器 在内网中有服务器,如果想让