SNAT和DNAT原理

黑珍珠号的杰克
184 阅读5分钟

当内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换功能称为SNAT,主要用于内部共享IP访问外部网络。

当内部地址需要提供对外服务时(如对外发布web网站),外部地址发起主动连接,由路由器或者防火墙上的网关接收这个连接,然后将连接转换到内部,此过程是由带有公网IP的网关替代内部服务来接收外部的连接,然后在内部将公网IP转换为私网IP,此转换功能称为DNAT,主要用于内部服务对外发布。

SNAT原理及应用

应用环境

局域网主机共享单个公网IP地址接入Internet。(私有IP不能在Internet中正常路由)

原理

源地址转换,Source Network Address Translation
修改数据包的源地址

过程

  1. 数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。
  2. 当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。
  3. 当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。

(一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网)

SNAT策略的配置

前提条件

  1. 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
  2. Linux网关开启IP路由转发

Linux网关开启IP路由转发

临时开启:

 echo 1 > /proc/sys/net/ipv4/ip_forward
 或
 sysctl -w net.ipv4.ip_forward=1

永久开启:

 vim /etc/sysctl.conf
 net.ipv4.ip_forward=1    #将此行写入配置文件
 ​
 sysctl -p     #读取修改后的配置

SNAT转换1:固定的公网IP地址

 #配置SNAT策略,实现SNAT功能,将所有192.168.136.0这个网段内的ip的源地址改为12.0.0.2
 iptables -t nat -A POSTROUTING -s 192.168.136.0/24 -o ens33 -j SNAT --to 12.0.0.2      
 或
 iptables -t nat -A POSTROUTING -s 192.168.136.0/24 -o ens33 -j SNAT --to-source 12.0.0.2-12.0.0.10
 ​
 #-A POSTROUTING  指定POSTROUTING链
 #-s 192.168.136.0/24  源地址所处的网段(内网IP)
 #-o ens33  出站网卡
 #-j SNAT
 #--to 12.0.0.2   外网IP
 #--to-source 12.0.0.2-12.0.0.10   外网地址池

SNAT转换2:非固定的公网IP地址(共享固态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADE

DNAT原理及应用

应用环境

服务器一般不会暴露在公网中,极易被人攻击。服务器一般使用内网IP,所以访问服务器时需要进行目标地址转换。

在Internet中发布位于企业局域网内的服务器

原理

目标地址转换,Destination Network Address Translation
修改数据包的目标地址

过程

  1. 数据包从外网发送到内网时,DNAT会把数据包的目标地址由公网IP转换成私网IP。
  2. 当相应的数据包从内网发送到公网时,会把数据包的源地址由私网IP转换为公网IP。

(客户机想访问服务器时,访问的是网关地址,由网关去找服务器的内网地址。
如果多台服务器使用同一个网关,那么通过不同的端口号来对应不同的服务器。)

DNAT策略的配置

前提条件

  1. 局域网的服务器能够访问Internet
  2. 网关的外网地址有正确的DNS解析记录
  3. Linux网关开启IP路由转发

DNAT转换1:发布内网的Web服务

 #把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.136.10
 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.136.10iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.136.10-192.168.72.20#-A PREROUTING        //修改目标地址的链           
 #-i ens33             //入站网卡
 #-d 12.0.0.254        //数据包的目的地址
 #-p tcp --dport 80    //数据包的目的端口
 #-j DNAT              //使用DNAT功能
 #--to 192.168.136.10  //内网服务器IP

DNAT转换2:发布时修改目标端口

 #将公网的IP和端口,转换成内网的IP和端口
 
 #发布局域网内部的web服务器,外网主机需使用8080端口进行连接
 #将12.0.0.254:8080 转换成 192.168.136.10:80
 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 8080 -j DNAT --to 192.168.136.10:80
 
 #发布局域网内部的OpenSSH服务器, 外网主机需使用250端口进行连接
 #将12.0.0.254:250 转换成 192.168.136.10:22
 iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 250 -j DNAT --to 192.168.136.10:22

tcpdump--Linux抓包

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

1)tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。

(2)-i ens33 :只抓经过接口ens33的包。

(3)-t:不显示时间戳

(4)-s 0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

(5)-c 100 :只抓取100个数据包。

(6)dst port ! 22 :不抓取目标端口是22的数据包。

(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。

(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。

avatar
文章
阅读
粉丝