iptablese防火墙【SNAT和DNAT】

目录

1.SNAT策略及应用

1.1SNAT原理与应用

1.2 SNAT策略的工作原理

1.3 实验操练

2.DNAT策略

2.1 DNAT策略的概述

2.2 DNAT原理与应用

2.3 实验操练

1.SNAT策略及应用

1.1SNAT原理与应用

SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
SNAT原理:修改数据包的源地址

SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启I

1.2 SNAT策略的工作原理

未作SNAT转换时的情况 

 进行SNAT转换后的情况 

 SNAT转换1:固定的公网IP地址

ptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10内网IP	     出站 外网网卡                 外网IP或地址池		

 SNAT转换2:非固定的公网IP地址(共享动态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE

小知识扩展:
一个IP地址做SNAT转换,一般可以让内网 100到200 台主机实现上网。

 

1.3 实验操练

实验条件说明: 

网关服务器:CentOS 7-1

内网客户端主机1:CentOS 7-2

内网客户端主机2:CentOS 7-3

外网服务端模拟:CentOS 7-4

 注意

切记所有主机、服务端以及网关服务器都需要关闭防火墙,并禁止开机自启动功能;

需要在所有主机和服务器上清空iptables的所有规则以及iptables中nat表的所有规则

[root@localhost ~]# systemctl disable --now firewalld.service
[root@localhost ~]# setenforce 0
[root@localhost ~]# systemctl disable firewalld.service
[root@localhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)Active: inactive (dead)Docs: man:firewalld(1)[root@localhost ~]# iptables -F && iptables -t nat -F #清楚所有iptables规则

网关服务器centos7-1 


[root@localhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward=1#添加,开启路由转发功能                       

SNAT    内网 --> 外网   转换源地址
iptables  -t nat  -A POSTROUTING  -s 内网的源地址/网段  -o 出站网卡  -j SNAT  --to 要转换的公网源地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens35 -j SNAT --to 12.0.0.30

设置ens33 内网接口

 ens35外网地址

 内网客户端主机:CentOS 7-2

内网客户端主机2:CentOS 7-3 

 外网服务端模拟:CentOS 7-4

[root@localhost ~]# cd /etc/sysconfig/network-scripts/
[root@localhost network-scripts]# vim ifcfg-ens33
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=14387e34-4bca-4d9a-9e88-2d393a09e8f7
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.12
NETMASK=255.255.255.0
GATEWAY=12.0.0.30
#DNS1=192.168.80.2
[root@localhost network-scripts]# systemctl restart network
[root@localhost yum.repos.d]# yum install -y httpd
[root@localhost network-scripts]#  systemctl start httpd
[root@localhost network-scripts]# systemctl status httpd
● httpd.service - The Apache HTTP ServerLoaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)Active: active (running) since 三 2024-05-22 21:29:42 CST; 3s ago

 

抓包 

tcpdump -i ens33 -s 0 -w ./test2.cap

 

验证实验结果,私网地址转换为公网地址

2.DNAT策略

2.1 DNAT策略的概述

 


2.2 DNAT原理与应用

DNAT 应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:修改数据包的目的地址。
DNAT转换前提条件:
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1     sysctl -p      #卸载

DNAT转换1:发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11入站 外网网卡  外网IP                                               内网服务器IPiptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20


DNAT转换2:发布时修改目标端口            

#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22
yum -y install net-tools 		#若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33

注意:使用DNAT时,同时一般要配合SNAT使用,才能实现响应数据包的正确返回

小知识扩展
主机型防火墙 主要使用 INPUT、OUTPUT 链,设置规则时一般要详细的指定到端口
网络型防火墙 主要使用 FORWARD 链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可

2.3 实验操练

实验情况说明

外网客户端主机1:CentOS 7-2

外网客户端主机2:  CentOS 7-3

网关服务器:CentOS 7-1

内网服务端模拟:CentOS 7-4

拓扑图 

内网主机改成外网主机

外网主机改成内网主机

7-4改成vmnet1

7-2 7-3改成vmnet2

centos7-2

cd /etc/sysconfig/network-scripts/

vim ifcfg-ens33

[root@localhost network-scripts]# systemctl restart network [root@localhost network-scripts]# ifconfig

nslookup www.xy101.com

centos7-3

cd /etc/sysconfig/network-scripts/

vim ifcfg-ens33

[root@localhost network-scripts]# systemctl restart network

[root@localhost network-scripts]# ifconfig

vim /etc/resolv.conf

nslookup www.xy101.com

centos7-4

cd /etc/sysconfig/network-scripts/

vim ifcfg-ens33

[root@localhost network-scripts]# systemctl restart network

[root@localhost network-scripts]# ifconfig

systemctl restart httpd

centos7-1(网关服务器)

yum install -y bind

修改配置文件 vim /etc/named.conf

vim /etc/named.rfc1912.zones

5yy 然后按p

cd /var/named/ cp -p named.localhost xy101.com.zone 根据named.localhost复制出xy101.com.zone

vim xy101.com.zone

[root@localhost named]# systemctl start named

[root@localhost named]# systemctl enable named

vim /etc/sysctl.conf

sysctl -p

iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.30 -p tcp --dport 80 -j DNAT --to 192.168.80.15:80

iptables -nL -t nat

通过设置ssh进行远程登录到12.0.0.30主机

iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.30 -p tcp --dport 2345 -j DNAT --to 192.168.80.15:22

ssh -p 2345 12.0.0.30

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/839231.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

uniappx 应用未读角标插件(完善推送、通知、消息效果) Ba-Shortcut-Badge-U

简介(下载地址) Ba-Shortcut-Badge-U 是设置应用未读角标的原生插件,UTS版本(同时支持uniapp和uniappx) 支持设置未读、清空未读支持机型有Huawei、oppo、xiaomi、Samsung、Sony、LG、HTC、ZUK、ASUS、ADW、APEX、NO…

数据库第十次作业官方答案

文章目录 1234 1 假设有关系模式R(A,B,C,D,E),如下函数依赖集F成立: A→BC,CD→E,B→D,E→A 如果将模式R分解为:R1(A,B,C)与R2(A,D,E)。 证明该分解是无损分解。 如果R1∩R2→ R1或R1 n R2→ R2,则一个分解…

pytest 用例收集钩子并发送飞书

pytest 用例收集钩子并发送飞书 当我们pytest用例运行完成后,想要知道运行多少个,成功还是失败,分别是多少,直接通知领导或者发到群里 conftest.pyimport requests def pytest_terminal_summary(terminalreporter, exitstatus, …

快速将短信从 Android 传输到 iPhone [支持 iPhone 15]

短信中包含有关工作和生活的重要信息,因此当我们拿到新手机时,它们不会丢失。今天,我们要讨论的是如何将短信从Android快速传输到iPhone,包括最新的iPhone 15。在Android和iOS操作系统之间,我们可以轻松地将短信从Andr…

mysql max_connections 默认值是多少

在 MySQL 中,max_connections 参数定义了能同时连接到数据库服务器的最大客户端连接数。该参数的默认值可能会根据 MySQL 版本和服务器的配置而有所不同。 对于 MySQL 5.7 和 MySQL 8.0,max_connections 的默认值通常是 151。这意味着同时可以有 150 个…

C语言(指针)8

Hi~!这里是奋斗的小羊,很荣幸各位能阅读我的文章,诚请评论指点,关注收藏,欢迎欢迎~~ 💥个人主页:小羊在奋斗 💥所属专栏:C语言 本系列文章为个人学习笔记&#x…

mysqldump

mysqldump 是 MySQL 数据库备份工具,用于将数据库的数据和结构导出为 SQL 文件,方便后续恢复或迁移数据库。 1、备份整个数据库: mysqldump -u username -p database_name > backup.sql2、备份特定表: mysqldump -u usernam…

BUUCTF-misc23

[GUET-CTF2019]zips1 1.打开附件 是一个加密的压缩包 2.暴力破解压缩包 得到压缩包密码 3.010Editor 解密之后又得到一个加密的压缩包 发现不是解密文件 用010Editor打开是伪加密,将09 00 给为 00 00 4.Python 用Python运行文件里的部分内容,发现密…

高精度可编程直流电源功能

在电子产品开发和测试中,高精度可编程直流电源是一种非常重要的工具。它不仅能够提供稳定可靠的电源供应,还能够精确地控制输出电压和电流,满足各种复杂的测试需求。下面我们就来详细了解一下高精度可编程直流电源的功能特点。 1. 输出精度高 高精度可…

php代码执行--可能漏洞点

目录 php代码执行 找不到包? get包改post包 自定义函数 危险函数 php的命令执行(Linux命令执行) php执行系统命令6种函数: php命令执行利用 参数值可控: 整体可控: 变量拼接绕过关键字 符号过滤 过滤空格 字符串截取 空格 随记...杂 php代码执行 hackbar插件 信…

基于深度学习OCR文本识别

第一步:概要 基于深度学习OCR文本识别分为两个模块:DBNet和CRNN。 DBNet是基于分割的文本检测算法,算法将可微分二值化模块(Differentiable Binarization)引入了分割模型,使得模型能够通过自适应的阈值图进行二值化,并…

什么是IDE?IDE和compiler的区别?

编译器(Compiler)和集成开发环境(Integrated Development Environment,IDE)不是一回事,它们是两个不同的概念,但通常在软件开发中会一起使用。 编译器:编译器是一种将源代码转换为目…

php发送短信功能(创蓝短信)

一、以下是创蓝发送短信的功能&#xff0c;可以直接执行&#xff1a; <?php$phone 12312312312;$msg 测试短信功能;echo 发送手机号&#xff1a;.$phone.<br/>;echo 发送内容&#xff1a;.$msg.<br/>;$send sendMessage($phone, $msg);var_dump($send);…

HQL面试题练习 —— 品牌营销活动天数

题目来源&#xff1a;小红书 目录 1 题目2 建表语句3 题解 1 题目 有营销活动记录表&#xff0c;记录了每个品牌每次营销活动的开始日期和营销活动的结束日期&#xff0c;现需要统计出每个品牌的总营销天数。 注意&#xff1a; 1:苹果第一行数据的营销结束日期比第二行数据的营…

ros学习之路径规划

一、全局路径规划中的地图 1、栅格地图&#xff08;Grid Map&#xff09;2、概率图&#xff08;Cost Map&#xff09;3、特征地图&#xff08;Feature Map4、拓扑地图&#xff08;Topological Map&#xff09; 二、全局路径规划算法 1、Dijkstra 算法 2、最佳路径优先搜索算…

Vue过渡动画

文章目录 Vue过渡动画1 css定义的动画Vue实现2 纯Vue实现3 利用第三方库实现过渡动画 Animate Vue过渡动画 作用&#xff1a;在插入、更新或移除 DOM元素时&#xff0c;在合适的时候给元素添加样式类名。 写法&#xff1a; 准备好样式&#xff1a; 元素进入的样式&#xff1a;…

sam代码简析

Segment Anything&#xff1a;建立了迄今为止最大的分割数据集&#xff0c;在1100万张图像上有超过1亿个掩码&#xff0c;模型的设计和训练是灵活的&#xff0c;其重要的特点是Zero-shot(零样本迁移性)转移到新的图像分布和任务&#xff0c;一个图像分割新的任务、模型和数据集…

记录centos中操作(查找、结束、批量)进程以及crontab定时写法的知识

环境&#xff1a;vps&#xff0c;centos7&#xff0c;python3。 近期写了个python程序&#xff0c;用青龙面板在centos上运行。程序中有while无限循环&#xff0c;但是我在青龙中设置了定时任务&#xff08;每隔半小时运行一次&#xff09;&#xff0c;于是造成了进程中有多个…

Java进阶16 单元测试XML注解

Java进阶16 一、单元测试 单元测试就是针对最小的功能单元编写测试代码&#xff0c;Java程序最小的功能单元是方法&#xff0c;因此&#xff0c;单原测试就是针对Java方法的测试&#xff0c;进而检查方法的正确性。简单理解就是测试代码的工具。 1、Junit 1.1 Junit引入 目…

全面了解CC攻击和防范策略

前言 “ CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽&#xff0c;一直到宕机崩溃。” 什么是CC攻击&#xff1f; CC攻击前身是一个名为Fatboy的攻击程序&#xff0c;而之所以后来人们会称之为CC&#xff0c;也叫HTTP-FLOOD&#xff…