【Q】之防火墙的SNAT DANT原理应用
SNAT DANT
- 一、 SNAT原理的應(yīng)用
- 1.1 原因環(huán)境和原理
- 1.2 開(kāi)啟SNAT的命令
- 1.臨時(shí)打開(kāi)∶
- 2.永久打開(kāi):
- 1.3 SNAT轉(zhuǎn)換
- 1.3.1 SNAT轉(zhuǎn)換1∶固定的公網(wǎng)IP地址∶
- 二、 DNAT原理的應(yīng)用
- 2.1 DNAT的工作原理
- 2.2 DNAT轉(zhuǎn)換前提條件
- 2.3 DNAT轉(zhuǎn)換1∶ 發(fā)布內(nèi)網(wǎng)的Web服務(wù)
- 2.4 DNAT轉(zhuǎn)換2∶ 發(fā)布時(shí)修改目標(biāo)端口
- 2.5 防火墻規(guī)則的備份和還原
- 三、Linux抓包
一、 SNAT原理的應(yīng)用
1.1 原因環(huán)境和原理
SNAT 應(yīng)用環(huán)境∶局域網(wǎng)主機(jī)共享單個(gè)公網(wǎng)IP地址接入Internet (私有IP不能在Internet中正常路由)
SNAT原理∶修改數(shù)據(jù)包的源地址。 SNAT轉(zhuǎn)換前提條件∶
局域網(wǎng)各主機(jī)已正確設(shè)置IP地址、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)地址
Linux網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)
1.2 開(kāi)啟SNAT的命令
1.臨時(shí)打開(kāi)∶
echo 1 >/proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip forward=1
2.永久打開(kāi):
vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1 #將此行寫入配置文件
sysctl -P #讀取修改后的配置
1.3 SNAT轉(zhuǎn)換
局域網(wǎng)PC封裝源、如:目ip(源地址:192.168.100.77,目的地址:172.16.16.101),到達(dá)網(wǎng)關(guān)路由器,SNAT將源地址轉(zhuǎn)換成唯一的一個(gè)公網(wǎng)ip,此時(shí)源地址變成了公網(wǎng)ip172.16.16.254(eth0),再把數(shù)據(jù)包重新封裝。當(dāng)外網(wǎng)服務(wù)器收到,進(jìn)行數(shù)據(jù)回復(fù)的時(shí)候。源目對(duì)調(diào),源地址是web服務(wù)器地址,目標(biāo)地址是網(wǎng)關(guān)地址,找到網(wǎng)關(guān)路由之后,在網(wǎng)關(guān)路由中會(huì)有一個(gè)狀態(tài)記錄(局域網(wǎng)內(nèi)或許不止一臺(tái)主機(jī)訪問(wèn)外網(wǎng)),轉(zhuǎn)發(fā)回去。
1.3.1 SNAT轉(zhuǎn)換1∶固定的公網(wǎng)IP地址∶
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -i SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
內(nèi)網(wǎng)IP 出站 外網(wǎng)網(wǎng)卡 外網(wǎng)IP或地址池
小知識(shí)擴(kuò)展∶ 一個(gè)IP地址做SNAT轉(zhuǎn)換,一般可以讓內(nèi)網(wǎng) 100到200 臺(tái)主機(jī)實(shí)現(xiàn)上網(wǎng)。
二、 DNAT原理的應(yīng)用
2.1 DNAT的工作原理
進(jìn)行DNAT轉(zhuǎn)發(fā)的過(guò)程如下圖:
2.2 DNAT轉(zhuǎn)換前提條件
網(wǎng)關(guān)的外網(wǎng)地址有正確的DNS解析記錄
Linux網(wǎng)關(guān)開(kāi)啟IP路由轉(zhuǎn)發(fā)
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysct1 -p
2.3 DNAT轉(zhuǎn)換1∶ 發(fā)布內(nèi)網(wǎng)的Web服務(wù)
#把從ens33進(jìn)來(lái)的要訪問(wèn)web服務(wù)的數(shù)據(jù)包目的地址轉(zhuǎn)換為 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp–dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp–dport 80-j DNAT --to-destination 192.168.80.11
入站|外網(wǎng)網(wǎng)卡 | 外網(wǎng)ip 內(nèi)網(wǎng)服務(wù)器ip
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.80.11-192.168.80.20
2.4 DNAT轉(zhuǎn)換2∶ 發(fā)布時(shí)修改目標(biāo)端口
#發(fā)布局域網(wǎng)內(nèi)部的OpenSSH服務(wù)器, 外網(wǎng)主機(jī)需使用250端口進(jìn)行連接
iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp–dport 250-jDNAT --to 192.168.80.11:22
#在外網(wǎng)環(huán)境中使用SSH測(cè)試
ssh -p 250 root@12.0.0.1
yum -y install net-tools #若沒(méi)有 ifconfig 命令可提前使用 yum 進(jìn)行安裝
ifconfig ens33
注意∶ 使用DNAT時(shí),同時(shí)還有配合SNAT使用,才能實(shí)現(xiàn)響應(yīng)數(shù)據(jù)包的正確返回 。
小知識(shí)擴(kuò)展∶
主機(jī)型防火墻 主要使用 INPUT、oUTPUT 鏈, 設(shè)置規(guī)則時(shí)一般要詳細(xì)的指定到端口
網(wǎng)絡(luò)型防火墻 主要使用 FORWARD鏈,設(shè)置規(guī)則時(shí)很少去指定到端口,一般指定到IP地址或者到網(wǎng)段即可
2.5 防火墻規(guī)則的備份和還原
導(dǎo)出 (備份)所有表的規(guī)則
iptables-save > /opt/ipt.txt
導(dǎo)入(還原)規(guī)則
iptables-restore < /opt/ipt.txt
將iptables規(guī)則文件保存在 /etc/sysconfig/iptables 中,iptables服務(wù)啟動(dòng)時(shí)會(huì)自動(dòng)還原規(guī)則 iptables-save >/etc/sysconfig/iptables
systemctl stop iptables #停止iptables服務(wù)會(huì)清空掉所有表的規(guī)則
systemctl start iptables #啟動(dòng)iptables服務(wù)會(huì)自動(dòng)還原/etc/sysconfig/iptables 中的規(guī)則
三、Linux抓包
tcpdump tcp-i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp∶ ip icmp arp rarp 和 tcp、udp、icmp這些選項(xiàng)等都要放到第一個(gè)參數(shù)的位置,用來(lái)過(guò)濾數(shù)據(jù)報(bào)的類型
(2)-i ens33 ∶只抓經(jīng)過(guò)接口ens33的包
(3)-t ∶不顯示時(shí)間戳
(4)-s 0 ∶ 抓取數(shù)據(jù)包時(shí)默認(rèn)抓取長(zhǎng)度為68字節(jié)。加上-s 0 后可以抓到完整的數(shù)據(jù)包
(5)-c 100 ∶只抓取100個(gè)數(shù)據(jù)包
(6)dst port ! 22 ∶不抓取目標(biāo)端口是22的數(shù)據(jù)包
(7)src net 192.168.1.0/24 ∶數(shù)據(jù)包的源網(wǎng)絡(luò)地址為192.168.1.0/24。Net:網(wǎng)段,host:主機(jī)
(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析
總結(jié)
以上是生活随笔為你收集整理的【Q】之防火墙的SNAT DANT原理应用的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 【Q】之Linux中的防火墙netfil
- 下一篇: 企业网站之html,httpd概述