SNAT DANT

• 一、 SNAT原理的應(yīng)用
• • 1.1 原因環(huán)境和原理
  • 1.2 開(kāi)啟SNAT的命令
  • • 1.臨時(shí)打開(kāi)∶
    • 2.永久打開(kāi):
  • 1.3 SNAT轉(zhuǎn)換
  • • 1.3.1 SNAT轉(zhuǎn)換1∶固定的公網(wǎng)IP地址∶
• 二、 DNAT原理的應(yīng)用
• • 2.1 DNAT的工作原理
  • 2.2 DNAT轉(zhuǎn)換前提條件
  • 2.3 DNAT轉(zhuǎn)換1∶ 發(fā)布內(nèi)網(wǎng)的Web服務(wù)
  • 2.4 DNAT轉(zhuǎn)換2∶ 發(fā)布時(shí)修改目標(biāo)端口
  • 2.5 防火墻規(guī)則的備份和還原
• 三、Linux抓包

一、 SNAT原理的應(yīng)用

1.1 原因環(huán)境和原理

SNAT 應(yīng)用環(huán)境∶局域網(wǎng)主機(jī)共享單個(gè)公網(wǎng)IP地址接入Internet （私有IP不能在Internet中正常路由）
SNAT原理∶修改數(shù)據(jù)包的源地址。 SNAT轉(zhuǎn)換前提條件∶
局域網(wǎng)各主機(jī)已正確設(shè)置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址
Linux網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)

1.2 開(kāi)啟SNAT的命令

1.臨時(shí)打開(kāi)∶

echo 1 >/proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip forward=1

2.永久打開(kāi):

vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1 #將此行寫入配置文件
sysctl -P #讀取修改后的配置

1.3 SNAT轉(zhuǎn)換

局域網(wǎng)PC封裝源、如：目ip（源地址：192.168.100.77，目的地址：172.16.16.101），到達(dá)網(wǎng)關(guān)路由器，SNAT將源地址轉(zhuǎn)換成唯一的一個(gè)公網(wǎng)ip，此時(shí)源地址變成了公網(wǎng)ip172.16.16.254（eth0），再把數(shù)據(jù)包重新封裝。當(dāng)外網(wǎng)服務(wù)器收到，進(jìn)行數(shù)據(jù)回復(fù)的時(shí)候。源目對(duì)調(diào)，源地址是web服務(wù)器地址，目標(biāo)地址是網(wǎng)關(guān)地址，找到網(wǎng)關(guān)路由之后，在網(wǎng)關(guān)路由中會(huì)有一個(gè)狀態(tài)記錄（局域網(wǎng)內(nèi)或許不止一臺(tái)主機(jī)訪問(wèn)外網(wǎng)），轉(zhuǎn)發(fā)回去。

1.3.1 SNAT轉(zhuǎn)換1∶固定的公網(wǎng)IP地址∶

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -i SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
內(nèi)網(wǎng)IP 出站 外網(wǎng)網(wǎng)卡 外網(wǎng)IP或地址池

小知識(shí)擴(kuò)展∶ 一個(gè)IP地址做SNAT轉(zhuǎn)換，一般可以讓內(nèi)網(wǎng) 100到200 臺(tái)主機(jī)實(shí)現(xiàn)上網(wǎng)。

二、 DNAT原理的應(yīng)用

2.1 DNAT的工作原理

進(jìn)行DNAT轉(zhuǎn)發(fā)的過(guò)程如下圖：

2.2 DNAT轉(zhuǎn)換前提條件

網(wǎng)關(guān)的外網(wǎng)地址有正確的DNS解析記錄
Linux網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysct1 -p

2.3 DNAT轉(zhuǎn)換1∶ 發(fā)布內(nèi)網(wǎng)的Web服務(wù)

#把從ens33進(jìn)來(lái)的要訪問(wèn)web服務(wù)的數(shù)據(jù)包目的地址轉(zhuǎn)換為 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp–dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp–dport 80-j DNAT --to-destination 192.168.80.11
入站|外網(wǎng)網(wǎng)卡 | 外網(wǎng)ip 內(nèi)網(wǎng)服務(wù)器ip
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.80.11-192.168.80.20

2.4 DNAT轉(zhuǎn)換2∶ 發(fā)布時(shí)修改目標(biāo)端口

#發(fā)布局域網(wǎng)內(nèi)部的OpenSSH服務(wù)器， 外網(wǎng)主機(jī)需使用250端口進(jìn)行連接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp–dport 250-jDNAT --to 192.168.80.11:22

#在外網(wǎng)環(huán)境中使用SSH測(cè)試
ssh -p 250 root@12.0.0.1

yum -y install net-tools #若沒(méi)有 ifconfig 命令可提前使用 yum 進(jìn)行安裝
ifconfig ens33

注意∶ 使用DNAT時(shí)，同時(shí)還有配合SNAT使用，才能實(shí)現(xiàn)響應(yīng)數(shù)據(jù)包的正確返回 。
小知識(shí)擴(kuò)展∶
主機(jī)型防火墻 主要使用 INPUT、oUTPUT 鏈， 設(shè)置規(guī)則時(shí)一般要詳細(xì)的指定到端口
網(wǎng)絡(luò)型防火墻 主要使用 FORWARD鏈，設(shè)置規(guī)則時(shí)很少去指定到端口，一般指定到IP地址或者到網(wǎng)段即可

2.5 防火墻規(guī)則的備份和還原

導(dǎo)出 （備份）所有表的規(guī)則
iptables-save > /opt/ipt.txt
導(dǎo)入（還原）規(guī)則
iptables-restore < /opt/ipt.txt

將iptables規(guī)則文件保存在 /etc/sysconfig/iptables 中，iptables服務(wù)啟動(dòng)時(shí)會(huì)自動(dòng)還原規(guī)則 iptables-save >/etc/sysconfig/iptables
systemctl stop iptables #停止iptables服務(wù)會(huì)清空掉所有表的規(guī)則
systemctl start iptables #啟動(dòng)iptables服務(wù)會(huì)自動(dòng)還原/etc/sysconfig/iptables 中的規(guī)則

三、Linux抓包

tcpdump tcp-i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置，用來(lái)過(guò)濾數(shù)據(jù)報(bào)的類型
（2）-i ens33 ∶只抓經(jīng)過(guò)接口ens33的包
（3）-t ∶不顯示時(shí)間戳
（4）-s 0 ∶ 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-s 0 后可以抓到完整的數(shù)據(jù)包
（5）-c 100 ∶只抓取100個(gè)數(shù)據(jù)包
（6）dst port ! 22 ∶不抓取目標(biāo)端口是22的數(shù)據(jù)包
（7）src net 192.168.1.0/24 ∶數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24。Net：網(wǎng)段，host：主機(jī)
（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析

總結(jié)

以上是生活随笔為你收集整理的【Q】之防火墙的SNAT DANT原理应用的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。