目录

SNAT

一.SNAT的原理介绍

1.应用环境

2.SNAT原理

3.SNAT转换前提条件

二.开启SNAT

1.临时打开

2.永久打开

三.SNAT的转换

1.固定的公网IP地址

2.非固定的公网IP地址(共享动态IP地址)

四.SNAT实验

1.实验环境准备

2.配置web服务器（192.168.100.100）

3.配置网关服务器（192.168.100.101、12.0.0.1）

4.配置win10客户端（12.0.0.10）

5.web服务器网络测试

6.Win10客户端的网络测试

7.网关服务器开启SNAT的命令

8.使用win10客户端来访问web服务器的apache网站 

9.配置网关服务器的iptables规则

10.清除记录再次使用Win10客户机进行访问web服务器 

DNAT

一.DNAT的原理介绍

1.应用环境

2.DNAT原理

3.DNAT转换前提条件

 二.DNAT的转换

1.发布内网的Web服务

2.发布时修改目标端口

三.DNAT实验

1.实验环境准备

2.配置网关服务器（192.168.192.110、12.0.0.254）

3.配置web服务器（192.168.192.100）

4.配置win10客户端（12.0.0.200）

5.网关服务器开启SNAT

6.外网客户端访问内网服务端

7.配置网关服务器的iptables规则

8.除记录再次使用Win10客户机进行访问web服务器 

四.SNAT和DNAT的区别

五.iptables规则的备份与还原

1.备份

2.还原

3.设置规则

六.tcpdump：Linux抓包

---

SNAT

一.SNAT的原理介绍

1.应用环境

局域网主机共享单个公网IP地址接入Internet （私有IP不能在Internet中正常路由）

2.SNAT原理

源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映谢

数据包从内网发送到公网时，SNAT会把数据包的源IP由私网IP转换成公网IP

当响应的数据包从公网发送到内网时，会把数据包的目的IP由公网IP转换为私网IP

3.SNAT转换前提条件

• 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
• Linux网关开启IP路由转发
• linxu系统本身是没有转发功能，只有路由发送数据

二.开启SNAT

1.临时打开

echo 1 >/proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip forward=1

2.永久打开

vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1				#将此行写入配置文件sysctl -P			                	#读取修改后的配置

三.SNAT的转换

1.固定的公网IP地址

#配置SNAT策略，实现snat功能，将所有192.168.100.0这个网段的ip的源ip改为10.0.0.1iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1可换成单独IP   出站外网网卡            外网IPiptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10内网IP   出站外网网卡                    外网IP或地址池

2.非固定的公网IP地址(共享动态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADEiptables -t nat -A POSTROUTING -s 12.0.0.0/24 -d 192.168.100.0/24 -j MASQUERADE一个IP地址做SNAT转换，一般可以让内网 100到200 台主机实现上网

四.SNAT实验

 

1.实验环境准备

web服务器IP地址：192.168.100.100（内网）

                                 关闭防火墙和selinux、开启http服务

网关服务器内网iIP地址：192.168.100.101

                  外网IP地址：12.0.0.1

                                         关闭防火墙和selinux、开启http服务

win10客户端IP地址：12.0.0.10

VMware的虚拟网络编辑器中默认nat1模式网段：192.168.100.0，nat2模式网段：12.0.0.0
 

注意查看真机的网段与虚拟机所设网段是否一致

2.配置web服务器（192.168.100.100）

第一步：设置网络连接模式为VMnet1

第二步： 开启虚拟机终端，配置网卡ens33如下

vim /etc/sysconfig/network-scrips/ifcfg-ens33
#修改网卡配置文件

 

第三步：关闭防火墙和selinux、安装并开启http服务 

yum install httpd -y          #安装httpd
systemctl stop firewalld      #关闭防火墙
setenforce 0                  #关闭selinux
systemctl start httpd         #开启httpd
systemctl status httpd        #查看状态

3.配置网关服务器（192.168.100.101、12.0.0.1）

第一步：设置网络连接模式为VMnet1与2

第二步： 开启虚拟机终端，配置网卡ens33并复制修改ens36

使用ifconfig命令查看新加网卡为ens36或ens37等

vim /etc/sysconfig/network-scrips/ifcfg-ens33
cd /etc/sysconfig/network-scrips
cp ifcfg-ens33 ifcfg-ens36
vim /etc/sysconfig/network-scrips/ifcfg-ens36
systemctl restart network
ifconfig

 

 

第三步：关闭防火墙和selinux、安装并开启http服务  

yum install httpd -y          #安装httpd
systemctl stop firewalld      #关闭防火墙
setenforce 0                  #关闭selinux
systemctl start httpd         #开启httpd
systemctl status httpd        #查看状态

 

4.配置win10客户端（12.0.0.10）

第一步：设置网络连接模式为VMnet2

第二步：配置iIP地址和网关为下图所示 

5.web服务器网络测试

6.Win10客户端的网络测试

7.网关服务器开启SNAT的命令

vim /etc/sysctl.conf
添加内容：
net.ipv4.ip_forward = 1可以使用sysctl -p读取修改后的配置

8.使用win10客户端来访问web服务器的apache网站 

 

查看web服务器的访问日志，显示访问的ip为win10客户机的ip

tail /var/log/httpd/access_log

9.配置网关服务器的iptables规则

第一步：查看网关服务器的iptables规则并清除

iptables -nL			#查看规则
iptables -nL -t nat		#查看规则
iptables -F				#清除iptables的规则
iptables -F -t nat		#清除iptables的规则

第二步：添加 SNAT转换∶固定的公网IP地址 

iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -o ens33 -j SNAT --to-source 192.168.100.101

10.清除记录再次使用Win10客户机进行访问web服务器 

 第一步：清除浏览器缓存数据

第二步：再次使用win10客户端来访问web服务器的apache网站

第三步：查看web服务器的访问日志，可以看到现在显示的访问ip为网关地址的ip，是我使用iptables配置的ip 

tail /var/log/httpd/access_log

从  原外网客户机IP地址 变为  网关服务器内网网关地址

DNAT

一.DNAT的原理介绍

1.应用环境

在Internet中发布位于局域网内的服务器

2.DNAT原理

• 目标地址转换
• 修改数据包的目标地址

3.DNAT转换前提条件

• 局域网的服务器能够访问Internet
• 网关的外网地址有正确的DNS解析记录
• Linux网关开启IP路由转发

vim /etc/sysctl.conf 
net.ipv4.ip_forward = 1 
sysct1 -p

 二.DNAT的转换

1.发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.80.11入站|外网网卡 | 外网ip											内网服务器ipiptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.80.11-192.168.80.20

2.发布时修改目标端口

#发布局域网内部的OpenSSH服务器， 外网主机需使用250端口进行连接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250-jDNAT --to 192.168.100.102:22

三.DNAT实验

1.实验环境准备

web服务器IP地址：192.168.192.100（内网）

                                 关闭防火墙和selinux、开启http服务

网关服务器内网iIP地址：192.168.192.110

                  外网IP地址：12.0.0.254

                                         关闭防火墙和selinux、开启http服务

win10客户端IP地址：12.0.0.200

VMware的虚拟网络编辑器中默认nat1模式网段：192.168.192.0，nat2模式网段：12.0.0.0

2.配置网关服务器（192.168.192.110、12.0.0.254）

第一步：设置网络连接模式为VMnet1与2

第二步： 开启虚拟机终端，配置网卡ens33并复制修改ens36

使用ifconfig命令查看新加网卡为ens36或ens37等

vim /etc/sysconfig/network-scrips/ifcfg-ens33
cd /etc/sysconfig/network-scrips
cp ifcfg-ens33 ifcfg-ens36
vim /etc/sysconfig/network-scrips/ifcfg-ens36
systemctl restart network
ifconfig

 

第三步：关闭防火墙和selinux、安装并开启http服务  

yum install httpd -y          #安装httpd
systemctl stop firewalld      #关闭防火墙
setenforce 0                  #关闭selinux
systemctl start httpd         #开启httpd
systemctl status httpd        #查看状态

 

3.配置web服务器（192.168.192.100）

第一步：设置网络连接模式为VMnet1

第二步：开启虚拟机终端，配置网卡ens33如下

vim /etc/sysconfig/network-scrips/ifcfg-ens33
#修改网卡配置文件

第三步：关闭防火墙和selinux、安装并开启http服务  

yum install httpd -y          #安装httpd
systemctl stop firewalld      #关闭防火墙
setenforce 0                  #关闭selinux
systemctl start httpd         #开启httpd
systemctl status httpd        #查看状态

4.配置win10客户端（12.0.0.200）

第一步：设置网络连接模式为VMnet2

第二步：配置iIP地址和网关为下图所示 

5.网关服务器开启SNAT

vim /etc/sysctl.conf
添加内容：
net.ipv4.ip_forward = 1sysctl -p
#验证

6.外网客户端访问内网服务端

第一步：清除浏览器缓存数据

第二步：使用win10客户端来访问web服务器的apache网站

第三步：查看web服务器的访问日志，显示访问的ip为win10客户机的ip

7.配置网关服务器的iptables规则

第一步：查看网关服务器的iptables规则并清除

iptables -nL			#查看规则
iptables -nL -t nat		#查看规则
iptables -F				#清除iptables的规则
iptables -F -t nat		#清除iptables的规则

第二步：添加SNAT与DNAT规则

iptables -t nat -A POSTROUTING -s 192.168.192.0/24 -o ens36 -j SNAT --to 12.0.0.254
iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.254 -p tcp --dport 8080 -j DNAT --to 192.168.192.100:80
iptables -nL -t nat

8.清除记录再次使用Win10客户机进行访问web服务器 

第一步：清除浏览器缓存数据

第二步：再次使用win10客户端来访问web服务器的apache网站,输入网关地址即可

四.SNAT和DNAT的区别

从定义上讲，SNAT是原地址转换，DNAT是目标地址转换。区分这两个功能可以简单的由服务的发起者是谁来区分，内部地址要访问公网上的服务时，内部地址会主动发起连接，将内部地址转换成公有ip。

五.iptables规则的备份与还原

1.备份

默认备份文件/etc/sysconfig/iptables

iptables-save > /opt/ibf.txt
#重定向输入到opt目录下新文件ibf.txt中

2.还原

iptables-restore < /opt/ibf.txt
#快速还原可以使用
iptables -nL
#查看最初状态
iptables -F 
#删除模拟丢失规则
iptables -nL
#查看是否为空iptables-restore < /opt/ibf.txt
#快速还原
iptables -nL
#查看是否还原

3.设置规则

#重定向输入到默认配置文件当中
iptables-save >/etc/sysconfig/iptables      #重启防火墙
systemctl stop iptables
systemctl start iptables#查看规则
iptables -nL
iptables -nL -t nat

六.tcpdump：Linux抓包

tcpdump tcp-i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

• tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
• -i ens33 ∶只抓经过接口ens33的包
• -t ∶不显示时间戳
• -s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
• -c 100 ∶只抓取100个数据包
• dst port ! 22 ∶不抓取目标端口是22的数据包
• src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机
• -w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析