1.SNAT策略及应用

SNAT应用环境：局域网主机共享单个公网IP地址接入Internet（私有不能在Internet中被正常路由）

SNAT原理： 修改数据包的源地址。

SNAT转换前提条件：

• 局域网各主机已正确设置IP地址、子网掩码、默认网关地址;

• Linux网关开启IP路由转发;

临时打开：
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

永久打开：
vim /etc/sysctl.conf   #内核配置文件
net.ipv4.ip_forward = 1         #将此行写入配置文件

sysctl -p                         #加载修改后的配置

SNAT策略的工作原理

SNAT转换1：固定的公网IP地址；

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1  #-t指定nat表，-s指定源地址或源地址网段，-o指定出站网卡，-j指定规则类型，--to修改源地址为网关服务器的外网网卡地址或者外网地址池iptables -t nat -A POSTROUTING -s 192.168.80.0/24（内网IP） -o ens33（ 出站外网网卡）-j SNAT --to-source 12.0.0.1-12.0.0.10（外网IP或地址池）										                    	

2.DNAT策略

2.1 DNAT策略的概述

2.2 DNAT原理与应用

DNAT 应用环境：
在Internet中发布位于局域网内的服务器;
DNAT原理：
修改数据包的目的地址。

DNAT转换前提条件：
1.局域网的服务器能够访问Internet;

2.网关的外网地址有正确的DNS解析记录;

3.Linux网关开启IP路由转发;

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1     
sysctl -p         #加载

DNAT转换1：发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.10入站 外网网卡  外网IP								内网服务器IP
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.20

3.tcpdump抓包工具的运用

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

（2）-i ens33 ：只抓经过接口ens33的包。

（3）-t：不显示时间戳

（4）-s0 ：抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

（5）-c 100 ：只抓取100个数据包。

（6）dst port ! 22 ：不抓取目标端口是22的数据包。

（7）src net 192.168.1.0/24 ：数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机。

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析。