SNAT原理及应用

SNAT的典型应用环境

局域网主机共享单个公网IP地址接入Internet。（私有IP不能在Internet中正常路由）

SNAT策略的原理

• 源地址转换，Source Network Address Translation
• 修改数据包的源地址

SNAT源地址转换过程

• 数据包从内网发送到公网时，SNAT会把数据包的源地址由私网IP转换成公网IP。
• 当相应的数据包从公网发送到内网时，会把数据包的目的地址由公网IP转换为私网IP。
• 当内网有多台主机访问外网时，SNAT在转换时会自动分配端口，不同内网主机会通过端口号进行区分。

SNAT配置

web服务器ip：192.168.88.101（nat1）、关闭防火墙和selinux、开启http服务

网关服务器内网ip：192.168.88.100（nat1）；外网ip：12.0.0.200（nat2）、关闭防火墙和selinux、开启http服务

客户端ip：12.0.0.202（nat2）

VMware的虚拟网络编辑器中默认nat模式网段：192.168.88.0，nat2模式网段：12.0.0.0

网卡服务器配置

重启网络服务

web服务器配置

客户端配置

网关服务器上开启并修改SNAT

修改/etc/sysctl.conf

测试

客户端

web服务器

前往客户端

DNAT原理及应用

服务器一般不会暴露在公网中，极易被人攻击。服务器一般使用内网IP，所以访问服务器时需要进行目标地址转换。

DNAT策略的应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理

• 目标地址转换，Destination Network Address Translation
• 修改数据包的目标地址

DNAT源地址转换过程

• 数据包从外网发送到内网时，DNAT会把数据包的目标地址由公网IP转换成私网IP。
• 当相应的数据包从内网发送到公网时，会把数据包的源地址由私网IP转换为公网IP。

DNST配置

把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.88.101

发布局域网内部的OpenSSH服务器， 外网主机需使用250端口进行连接

测试

外网可以访问内网