1. SNAT原理与应用
1.1 SNAT应用环境
局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
1.2 SNAT原理
修改数据包的源地址。
源地址转换,Source Network Address Translation
- 未作STAT转换时的情况
- 进行STAT转换的情况
1.3 SNAT转换前提条件
- 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- Linux网关开启IP路由转发
1.4 SNAT实现过程
1.4.1 实验环境
- 内网服务器IP:192.168.200.101
- 网关服务器IP:192.168.200.100和12.0.0.254
- 外网WEB服务器IP:12.0.0.12
1.4.2 实验过程(网关服务器)
- 开启数据包转发
临时打开
[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
或
[root@localhost ~]# sysctl -w net.ipv4.ip_forward=1
永久打开
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 //将此行写入配置文件
[root@localhost ~]# sysctl -P //读取修改后的配置
- SNAT转换1:固定的公网IP地址
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o ens37 -j SNAT --to 12.0.0.254
-A POSTROUTING //指定POSTROUTING链
-s 192.168.200.0/24 //源地址所处的网段(内网IP)
-o ens33 //出站网卡
-j SNAT //修改数据包源地址
--to 12.0.0.254 // 外网IP
- SNAT转换2:非固定的公网IP地址(共享动态IP地址)
[root@localhost ~]# iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o ens37 - j MASQUERADE
- 关闭防火墙
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
1.4.3 实验结果
- 外网服务器
[root@localhost ~]# yum -y install httpd //下载http服务
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
- 内网服务器
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
- 用内网主机访问外网WEB服务器httpd服务
2. DNAT原理与应用
2.1 DNAT应用环境
在Internet中发布位于局域网内的服务器
2.2 DNAT原理
修改数据包的目的地址。
目标地址转换,Destination Network Address Translation
2.3 DNAT转换前提条件
- 局域网的服务器能够访问Internet
- 网关的外网地址有正确的DNS解析记录
- Linux网关开启IP路由转发
2.4 SNAT实现过程
2.4.1 实验环境
- **外网客户机IP:192.168.200.101 **
- 网关服务器IP:192.168.200.100和12.0.0.254
- 内网WEB服务器IP:12.0.0.12
2.4.2 实验过程(网关服务器)
- 开启数据包转发
[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 //将此行写入配置文件
[root@localhost ~]# sysctl -P //读取修改后的配置
- DNAT转换1:发布内网的Web服务
把从ens33进来的要访问web服务的数据包目的地址转换为192.168.200.101
[root@localhost ~]# iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.200.101
-A PREROUTING //修改目标地址的链 -
-i ens33 //入站网卡
-d 12.0.0.12 //数据包的目的地址
-p tcp --dport 80 //数据包的目的端口
-j DNAT //修改数据包目的在地址
--to 192.168.200.101 //内网服务器IP
- DNAT转换2:发布时修改目标端口
//将公网的IP和端口,转换成内网的IP和端口
//发布局域网内部的web服务器,外网主机需使用80端口进行连接
//将12.0.0.254:80 转换成 192.168.200.101:80
[root@localhost ~]# iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.200.101:80
//发布局域网内部的OpenSSH服务器, 外网主机需使用250端口进行连接
//将12.0.0.254:250 转换成 192.168.1.10:22
//[root@localhost ~]# iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 250 -j DNAT --to 192.168.200.101:22
- 关闭防火墙
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
2.4.3 实验结果
- 内网WEB服务器
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
- 外网客户机
[root@localhost ~]# yum -y install httpd //下载http服务
[root@localhost ~]# systemctl start httpd
[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
- 外网客户机访问内网WBE服务器
3.tcpdump—Linux抓包
wireshark 抓包工具只在windows中使用。
tcpdump 可以在Linux系统中使用。
[root@localhost ~]# tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
tcp∶ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
-i ens33 :只抓经过接口ens33的包。
-t:不显示时间戳
-s 0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。
-c 100 :只抓取100个数据包。
dst port ! 22 :不抓取目标端口是22的数据包。
src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。
-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。
