SNAT原理与应用
SNAT的典型应用环境:
局域网主机共享单个公网IP地址接入Internet。(私有IP不能在Internet中正常路由)
SNAT策略的原理:
源地址转换,Source Network Address Translation
修改数据包的源地址
SNAT转换前提条件:
1.局城网各主机已正确设置IP地址、子网掩码、默认网关地址
- Linux网关开启IP路由转发
临时打开: echo 1 > /proc/sys/net/ipv4/ip_ forward 或 sysctl -w net. ipv4.ip forward=1
永久打开: vim /etc/sysct1. conf net. ipv4. ip_ forward = 1 #将此行写入配置文件
sysctl -P #读取修改后的配置
SNAT转换前提条件
局域网各主机已正确设置IP地址、子网掩码、默认网关地址
Linux网关开启IP路由转发
SNAT转换1:固定的公网IP地址:
SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE
小知识扩展:一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网。
DNAT原理及应用
DNAT策略的应用环境:
在Internet中发布位于企业局域网内的服务器
DNAT策略的原理:
目标地址转换,Destination Network Address Translation
修改数据包的目标地址
DNAT转换前提条件
局域网的服务器能够访问Internet
网关的外网地址有正确的DNS解析记录
Linux网关开启IP路由转发
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
vim letclsysctl.conf
net .ipv4.ip forward = 1
sysctl -p
DNAT转换1:发布内网的web服务
DNAT转换2:发布时修改目标端口
yum -y install net-tools #若没有ifconfig命令可提前使用yum进行安装
ifconfig ens33
###注意:使用DNAT时,同时一般要配合SNAT使用,才能实现响应数据包的正确返回
小知识扩展:
主机型防火墙主要使用INPUT、OUTPUT链,设置规则时一般要详细的指定到端口
网络型防火墙主要使用FORWARD链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可
防灭墙规则的备份和还原
导出(备份)所有表的规则
iptables-save > /opt/ ipt. txt .
导入(还原)规则
iptables-restore < /opt/ipt. txt
将iptables规则文件保存在/etc/ sysconfig/iptables 中,iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/ iptables
systemctl stop iptables #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则
tcpdump抓包
tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target. cap
(1)tcp : ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型
(2)-i ens33 : 只抓经过接F lens33的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal (即wireshark)分析
