目錄

一、SNAT原理及應(yīng)用

1：定義：

1.1;SNAT的典型應(yīng)用環(huán)境：

1.2:SNAT策略的原理

2:SNAT策略的配置

2.1:SNAT轉(zhuǎn)換前提條件

2.2:Linux網(wǎng)關(guān)開啟IP路由轉(zhuǎn)發(fā)

3:示例

3.1：SNAT轉(zhuǎn)換1：固定的公網(wǎng)IP地址

3.2：SNAT轉(zhuǎn)換2：非固定的公網(wǎng)IP地址(共享動(dòng)態(tài)IP地址)

3.3：小知識(shí)擴(kuò)展：

二、DNAT原理及應(yīng)用

1：定義：

1.1：DNAT策略的應(yīng)用環(huán)境：

?1.2：DNAT策略的原理

2：DNAT策略的配置

2.1：DNAT轉(zhuǎn)換前提條件

2.2：DNAT轉(zhuǎn)換1：發(fā)布內(nèi)網(wǎng)的Web服務(wù)

三、防火墻規(guī)則的備份和還原

1：規(guī)則的自動(dòng)備份和加載

2：手動(dòng)備份和還原

2.1：導(dǎo)出（備份）所有表的規(guī)則

2.2：導(dǎo)入（還原）規(guī)則

3：tcpdump—Linux抓包

四、總結(jié)

---

一、SNAT原理及應(yīng)用

1：定義：

1.1;SNAT的典型應(yīng)用環(huán)境：

局域網(wǎng)主機(jī)共享單個(gè)公網(wǎng)IP地址接入Internet。（私有IP不能在Internet中正常路由）

1.2:SNAT策略的原理

修改數(shù)據(jù)包的源地址

2:SNAT策略的配置

2.1:SNAT轉(zhuǎn)換前提條件

局域網(wǎng)各主機(jī)已正確設(shè)置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址

Linux網(wǎng)關(guān)開啟IP路由轉(zhuǎn)

?

2.2:Linux網(wǎng)關(guān)開啟IP路由轉(zhuǎn)發(fā)

1、臨時(shí)開啟：

?echo 1 > /proc/sys/net/ipv4/ip_forward

?或

?sysctl -w net.ipv4.ip_forward=1

2、永久開啟：

?vim /etc/sysctl.conf

?net.ipv4.ip_forward=1 ? ?#將此行寫入配置文件 ??

?sysctl -p ? ? #讀取修改后的配置

3:示例

3.1：SNAT轉(zhuǎn)換1：固定的公網(wǎng)IP地址

#配置SNAT策略，實(shí)現(xiàn)SNAT功能，將所有192.168.72.0這個(gè)網(wǎng)段內(nèi)的ip的源地址改為12.0.0.2 ?iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2 ?

?或

?iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to-source 12.0.0.2-12.0.0.10 ?

? ?#-A POSTROUTING 指定POSTROUTING鏈

?#-s 192.168.72.0/24 源地址所處的網(wǎng)段（內(nèi)網(wǎng)IP）

?#-o ens33 出站網(wǎng)卡

?#-j SNAT

#--to 12.0.0.2 ? 外網(wǎng)IP

?#--to-source 12.0.0.2-12.0.0.10 ? 外網(wǎng)地址池

3.2：SNAT轉(zhuǎn)換2：非固定的公網(wǎng)IP地址(共享動(dòng)態(tài)IP地址)

?iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADE

3.3：小知識(shí)擴(kuò)展：

一個(gè)IP地址做SNAT轉(zhuǎn)換，一般可以讓內(nèi)網(wǎng)100到200臺(tái)主機(jī)實(shí)現(xiàn)上網(wǎng)

二、DNAT原理及應(yīng)用

1：定義：

1.1：DNAT策略的應(yīng)用環(huán)境：

在Internet中發(fā)布位于企業(yè)局域網(wǎng)內(nèi)的服務(wù)器

?1.2：DNAT策略的原理

修改數(shù)據(jù)包的目標(biāo)地址

2：DNAT策略的配置

2.1：DNAT轉(zhuǎn)換前提條件

局域網(wǎng)的服務(wù)器能夠訪問Internet

網(wǎng)關(guān)的外網(wǎng)地址有正確的DNS解析記錄

Linux網(wǎng)關(guān)開啟IP路由轉(zhuǎn)發(fā)

vim /etc/sysctl.conf

?net.ipv4.ip_forward=1 ? ?#將此行寫入配置文件 ?

? sysctl -p ? ? #讀取修改后的配置

2.2：DNAT轉(zhuǎn)換1：發(fā)布內(nèi)網(wǎng)的Web服務(wù)

?#把從ens33進(jìn)來的要訪問web服務(wù)的數(shù)據(jù)包目的地址轉(zhuǎn)換為 192.168.72.10 ?iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.102

?或

?iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10-192.168.72.20 ??

?#-A PREROUTING ? ? ? //修改目標(biāo)地址的鏈?

#-i ens33 ? ? ? ? ?//入站網(wǎng)卡

?#-d 12.0.0.254 ? ? ? //數(shù)據(jù)包的目的地址

?#-p tcp --dport 80 ? //數(shù)據(jù)包的目的端口 ?

#-j DNAT ? ? ? ? ? ? //使用DNAT功能

?#--to 192.168.109.11 //內(nèi)網(wǎng)服務(wù)器IP

三、防火墻規(guī)則的備份和還原

1：規(guī)則的自動(dòng)備份和加載

iptables有一個(gè)默認(rèn)備份文件 /etc/sysconfig/iptables ，iptables服務(wù)在每次重啟后會(huì)自動(dòng)加載該文件。

?#將iptables規(guī)則文件保存在 /etc/sysconfig/iptables，iptables服務(wù)啟動(dòng)時(shí)會(huì)自動(dòng)還原規(guī)則。 ?iptables-save > /etc/sysconfig/iptables ?

systemctl stop iptables ? #停止iptables服務(wù)會(huì)清空掉所有表的規(guī)則

?systemctl start iptables ?#啟動(dòng)iptables服務(wù)會(huì)自動(dòng)還原/etc/sysconfig/iptables中的規(guī)則

2：手動(dòng)備份和還原

自動(dòng)備份并加載，只能還原最新的防火墻規(guī)則。

如果手動(dòng)備份，例如每天生成一個(gè)以日期為名稱的備份文件，那么在還原時(shí)可以有選擇地進(jìn)行還原。比如選擇上個(gè)月某一天的規(guī)則文件進(jìn)行導(dǎo)入還原。

2.1：導(dǎo)出（備份）所有表的規(guī)則

?iptables-save > /opt/ipt.txt

2.2：導(dǎo)入（還原）規(guī)則

?iptables-restore < /opt/ipt.txt

3：tcpdump—Linux抓包

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系統(tǒng)中使用。

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置，用來過濾數(shù)據(jù)報(bào)的類型。

（2）-i ens33 ：只抓經(jīng)過接口ens33的包。

（3）-t：不顯示時(shí)間戳

（4）-s 0 ：抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長度為68字節(jié)。加上"-s 0"后可以抓到完整的數(shù)據(jù)包。

（5）-c 100 ：只抓取100個(gè)數(shù)據(jù)包。

（6）dst port ! 22 ：不抓取目標(biāo)端口是22的數(shù)據(jù)包。

（7）src net 192.168.1.0/24 ：數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24。Net：網(wǎng)段，host：主機(jī)。

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析。

四、總結(jié)

SNAT源地址轉(zhuǎn)換過程（針對(duì)客戶端）

DNAT源地址轉(zhuǎn)換過程（針對(duì)服務(wù)器）

總結(jié)

以上是生活随笔為你收集整理的SNAT和DNAT原理及应用的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。