当前位置：首页 > news >正文

Linux防火墙——SNAT、DNAT

news 文章来源：https://blog.csdn.net/m_j_y0_0/article/details/129328502 2025/5/16 5:16:00

NAT

一、SNAT策略及作用

1、概述

SNAT应用环境

SNAT原理

SNAT转换前提条件

1、临时打开

2、永久打开

3、SNAT转换1：固定的公网IP地址

4、SNAT转换2：非固定的公网IP地址（共享动态IP地址）

二、SNAT实验

配置web服务器（192.168.247.99/24）

配置网关服务器（192.168.247.100/12.0.0.1）

配置外网服务器

配置网关服务器的iptables规则

二、DNAT策略与应用

DNAT应用环境

DNAT原理

DNAT转换前提条件

DNAT的转换

DNAT转换2：

在内网上配置

在网关服务器添加iptables规则

测试外网是否能访问内网

tcpdump——linux抓包

NAT

NAT：network address transtation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链

请求报文：修改源/目标IP

响应报文：修改源/目标IP，根据跟踪机制自动实现

NAT的实现分为下面类型：

SNAT：source NAT,支持POSTROUTING，INPUT，让本地网络中的主机通过某一特定地址访问外部网络，实现地址伪装，请求报文：修改源IP
DNAT：destination NAT 支持PREROUTING，OUTING，把本地网络中的主机上的某服务开放给外部网络访问（发布服务和端口映射），但隐藏真实IP，请求报文：修改目标IP
PNAT：port nat，端口和IP都进行修改

序号	源	目标
1	192.168.247.101:9720	12.0.0.1:80
2	12.0.0.1:80	12.0.0.100:80
3	12.0.0.100	192.168.100.101
4	12.0.0.100	12.0.0.1
5	192.168.100.100

一、SNAT策略及作用

1、概述

SNAT应用环境

局域网主机共享单个公网IP地址接入Internet（私有IP不能在Internet中正常路由）

SNAT原理

源地址转换

修改数据包的源地址

SNAT转换前提条件

1、局域网各主机已正确设置IP地址、子网掩码、默认网关地址

2、Linux网关开启IP路由转发

2、开启SNAT的命令

linux系统本身是没有转发功能，只有路由发送数据

SNAT选项：

to-source
random

MASQUERADE：基于nat表的target，适用于动态的公网IP，如：拨号网络

MASQUERADE选项

to-ports port
random

iptables -t nat -A POSTROUTING -s 12.0.0.0/24 ! -d 192.168.247.0/24 -j MASQUERADE

1、临时打开

echo 1>/proc/sys/net/ipv4/ip_forward

或

sysctl -w net.ipv4.ip forward=1

2、永久打开

vim /etc/sysctl.conf

net.ipv4.ip_forward=1 #将次行写入配置文件

1

sysctl -p #读取修改后的配置

3、SNAT转换1：固定的公网IP地址

可换成单独ip 出站外网网卡外网ip

iptables -t nat -A POSTROUTING -s 192.168.247.0/24 -o ens33 -j SNAT --to 10.0.01

#配置SNAT策略，实现SNAT功能，将所有192.168.247.0这个网段的ip改为10.0.0.1

或

iptables -t nat -A POSTROUTING -s 192.168.247.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10

4、SNAT转换2：非固定的公网IP地址（共享动态IP地址）

iptables -t nat -A POSTROUTING -s 192.168.247.0/24 -o ens33 -j MASQUERADE

二、SNAT实验

1、环境准备

web服务器ip：192.168.247.99（nat1）关闭防火墙和selinux、开启http服务

网关服务器内网ip地址：192.168.247.100

外网ip地址：12.0.0.1 关闭防火墙和selinux、开启http服务

外网ip地址：12.0.0.10（nat2）

VMware的虚拟网络编辑器中默认nat模式网段：192.168.247.0 nat2模式网段：12.0.0.0

配置web服务器（192.168.247.99/24）

1、选择网卡模式为nat模式

2、修改ens33网卡

3、重启网络服务

systemctl restart network

4、 ping网关测试

5、关闭防火墙、selinux ，安装http服务

6、开启http服务

配置网关服务器（192.168.247.100/12.0.0.1）

1、添加一块虚拟网卡

2、关闭防火墙，selinux

3、配置ens36网卡

配置ens33网卡

4、重启网络，查看ip

4、关闭防火墙和selinux

systemctl stop firewalld

setenforce 0

5、安装http服务

yum install httpd -y

6、开启http服务

配置外网服务器

1、修改网卡模式

2、配置网卡

3、重启网卡服务，查看ip

4、网络联通测试

开启SNAT

配置网关服务器的iptables规则

iptables -nL #查看规则
iptables -nL -t nat   #查看规则
iptables -F               #清除iptables的规则
iptables -F -t nat    #清除iptables的规则

二、DNAT策略与应用

DNAT应用环境

在internet中发布位于局域网内的服务器

DNAT原理

修改数据包的目的地址

DNAT转换前提条件

局域网的服务器能够访问internet
网关的外网地址有正确的DNS解析记录
linux网关开启ip路由转发

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysct1 -p

DNAT的转换

发布内网的web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.247.102
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.247.102
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.247.102
入站|外网网卡 | 外网ip 内网服务器ip

iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.247.11-192.168.247.20

DNAT转换2：

发布时修改目标端口

#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250-jDNAT --to 192.168.100.102:22

在内网上配置

#在内网上安装httpd并开启服务
[root@localhost yum.repos.d]# yum install -y httpd
[root@localhost yum.repos.d]# systemctl start httpd

#关闭防火墙和selinux
[root@localhost yum.repos.d]# systemctl stop firewalld.service
[root@localhost yum.repos.d]# setenforce 0

在网关服务器添加iptables规则

#先清空规则
[root@localhost yum.repos.d]#iptables -F -t nat
#添加规则
[root@localhost yum.repos.d]#iptables -t nat -A PREROUTING -i ens38 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.102

#查看规则
[root@localhost yum.repos.d]#iptables -nL -t nat
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 12.0.0.1 tcp dpt:80 to:192.168.100.102

Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination

测试外网是否能访问内网

#在外网服务器上
[root@localhost ~]# curl 12.0.0.1

#在内网服务器上
[root@localhost yum.repos.d]# tail /etc/httpd/logs/access_log
127.0.0.1 - - [02/Nov/2021:18:05:31 +0800] "GET / HTTP/1.1" 403 4897 "-" "curl/7.29.0"
12.0.0.100 - - [02/Nov/2021:18:19:45 +0800] "GET / HTTP/1.1" 403 4897 "-" "curl/7.29.0"

tcpdump——linux抓包

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

tcp：ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据包的类型
-i ens33：只抓经过接口ens33的包
-t：不显示时间戳
-s 0：抓取数据包时默认抓取长度为68字节。加上-s 0后可以抓到完整的数据包
-c 100：只抓取100个数据包
dst port ！22：不抓取目标端口是22的数据包
src net 192.168.1.0/24：数据包的源网络地址为192.168.1.0/24。net：网段，host：主机
-w ./target.cap：保存成cap文件，方便用wireshark分析

Linux防火墙——SNAT、DNAT

目录 NAT 一、SNAT策略及作用 1、概述 SNAT应用环境 SNAT原理 SNAT转换前提条件 1、临时打开 2、永久打开 3、SNAT转换1：固定的公网IP地址 4、SNAT转换2：非固定的公网IP地址（共享动态IP地址） 二、SNAT实验配置web服务…...

编程日记 2023/3/23 19:24:45

递归理解三：深度、广度优先搜索，n叉树遍历，n并列递归理解与转非递归

参考资料： DFS 参考文章BFS 参考文章DFS 参考视频二叉树遍历规律递归原理源码N叉树规律总结： 由前面二叉树的遍历规律和递归的基本原理，我们可以看到，二叉树遍历口诀和二叉树递推公式有着紧密的联系前序遍历：F(x…...

编程日记 2023/4/12 6:25:33

MATLAB 2023a安装包下载及安装教程

[软件名称]:MATLAB 2023a [软件大小]: 12.2 GB [安装环境]: Win11/Win 10/Win 7 [软件安装包下载]:https://pan.quark.cn/s/8e24d77ab005 MATLAB和Mathematica、Maple并称为三大数学软件。它在数学类科技应用软件中在数值计算方面首屈一指。行矩阵运算、绘制函数和数据、实现算…...

编程日记 2023/3/23 19:14:42

QT学习开发笔记（数据库之实用时钟）

数据库数据库是什么？简易言之，就是保存数据的文件。可以存储大量数据，包括插入数据、更新数据、截取数据等。用专业术语来说，数据库是“按照数据结构来组织、存储和管理数据的仓库”。是一个长期存储在计算机内的、有组织的、…...

编程日记 2023/3/23 19:09:40

Docker常规安装简介

总体步骤搜索镜像拉取镜像查看镜像启动镜像,服务端口映射停止容器移除容器案例安装tomcat docker hub上面查找tomcat镜像，docker search tomcat从docker hub上拉取tomcat镜像到本地 docker pull tomcatdocker images查看是否有拉取到的tomcat 使用tomcat镜像创…...

编程日记 2023/3/23 19:04:39

Python - PyQT5 - ui文件转为py文件

在QTdesigner图形化编辑工具中，有些控件我们是可以直接在编辑界面进行编辑的，有些是不可以编辑的，只能通过Python代码进行编辑，不过总体来说，所有能够通过图形化编辑界面可以编辑的，都可以通过Python语言实…...

编程日记 2023/3/23 18:59:37

分布式事务和分布式锁

1、关于分布式锁的了解？ 原理：控制分布式系统有序的去对共享资源进行操作，通过互斥来保持一致性。具备的条件： ①分布式环境下，一个方法在同一时间只能被一个机器的一个线程执行 ②高可用的获取锁和释放锁 ③高性能…...

编程日记 2023/3/23 18:54:35

JAVA-4-[Spring框架]基于XML方式的Bean管理

1 Spring IOC容器 (1)IOC底层原理 (2)IOC接口(BeanFactory) (3)IOC操作Bean管理(基于XML) (4)IOC操作Bean管理(基于注释) 1.1 IOC概念 (1)控制反转(Inversion of Control)，把对象的创建和对象之间的调用过程，交给Spring进行管理。 (2)使用IOC目的&…...

编程日记 2023/3/23 18:49:32

路科验证UVM入门与进阶详解实验0

一.代码编译首先创建新项目，导入lab0 的UVM文件； 针对uvm_compile文件，先进行编译； module uvm_compile;// NOTE:: it is necessary to import uvm package and macrosimport uvm_pkg::*;include "uvm_macros.svh"in…...

编程日记 2023/4/12 6:26:49

Linux之Shell编程（1）

文章目录前言一、Shell是什么二、Shell脚本的执行方式脚本的常用执行方式三、Shell的变量Shell变量介绍shell变量的定义四、设置环境变量基本语法快速入门五、位置参数变量介绍●基本语法●位置参数变量六、预定义变量基本介绍基本语法七、运算符基本介绍基本语法前言为什么要…...

编程日记 2023/3/23 18:39:29

Java问题诊断工具——JVisualVM

这篇文章源自一次加班改bug的惨痛经历[,,_,,]:3负责的一个项目占用不断增加，差点搞崩服务器(╥﹏╥)……一下子有点懵，不能立刻确定是哪里导致的问题，所以决定好好研究下这个之前一直被我忽视的问题诊断工具🔧——JVisualVM嘿嘿我…...

编程日记 2023/3/23 18:34:28

Python3实现简单的车牌检测

导语Hi，好久不见~~~两周没写东西了，从简单的开始，慢慢提高文章水准吧，下一个月开始时间就会比较充裕了~~~利用Python实现简单的车牌检测算法~~~让我们愉快地开始吧~~~相关文件网盘下载链接: https://pan.baidu.com/s/1iJmXCheJoWq…...

编程日记 2023/3/23 18:29:26

基于支持向量机SVM多因子测量误差预测，支持向量机MATLAB代码编程实现

目录支持向量机SVM的详细原理 SVM的定义 SVM理论 SVM应用实例，SVM的测量误差预测代码结果分析展望支持向量机SVM的详细原理 SVM的定义支持向量机（support vector machines, SVM）是一种二分类模型，它的基本模型是定义在特…...

编程日记 2023/3/23 18:24:25

新农具时代，拼多多的进击与本分

这几年，乡村振兴被频频提及，核心就是经济振兴。但经济振兴，不能只靠政府，更要靠企业，政府引导、企业主导才能真正让农民、农村、农业长期受益。企业中，被寄予厚望的是电商企业。甚至，电商成为了…...

编程日记 2023/3/23 18:19:24

质量工具之故障树分析FTA(2) - FTA的基本概念

关键词：问题解决、故障树、故障树分析、FTA、可靠性、鱼骨图、根本原因分析前文我们已经详细介绍了FTA的历史。我们在工作中碰到一个问题，可以利用的问题解决工具有很多，故障树分析FTA就是其中之一。但是FTA毕竟是相对复杂较难掌握的工具…...

编程日记 2023/4/12 6:28:22

《高质量C/C++编程》读书笔记二

文章目录前言三、命名规则四、表达式和基本语句if语句循环语句五、常量前言这本书是林锐博士写的关于C/C编程规范的一本书，我打算写下一系列读书笔记，当然我并不打算全盘接收这本书中的内容。良好的编程习惯，规范的编程风格可以提高代码…...

编程日记 2023/3/23 18:09:21

常用的美颜滤镜sdk算法

本文主要介绍常见的美颜滤镜SDK算法，包括 SRGB、 HSL、 Lab、 JPEG、 TIFF等。本文不会过多介绍算法原理，只是列举一些在实际项目中用到的滤镜效果，如： 1.色彩空间变换 2.颜色范围调节 3.色彩平衡调节 4.灰度级调节 5.色相/饱和度…...

编程日记 2023/3/23 18:04:20

动态SQL必知必会

动态SQL必知必会1、什么是动态SQL2、为什么使用动态SQL3、动态SQL的标签4、if 标签-单标签判断5、choose标签-多条件分支判断6、set 标签-修改语句7、foreach标签7.1 批量查询7.2 批量删除7.3 批量添加8、模糊分页查询1、什么是动态SQL 动态 SQL 是 MyBatis 的强大特性之一。如…...

编程日记 2023/3/23 17:59:18

id生成策略模型类: Data TableName("tbl_user") public class User {TableId(type IdType.AUTO)TableId(type IdType.NONE)TableId(type IdType.INPUT)TableId(type IdType.ASSIGN_ID)TableId(type IdType.ASSIGN_UUID)private Long id;private String name;T…...

编程日记 2023/3/23 17:54:16