iptables防火墙(二)——SNAT和DNAT
目录
一:SNAT策略及应用
1.1SNAT应用环境和SNAT策略的原理
1.1.1SNAT策略的典型应用环境
1.1.2SNAT策略的原理
1.1.3SNAT转换前提条件
1.2SNAT策略的工作原理
1.3SNAT策略的应用
二:DNAT策略及应用
2.1DNAT应用环境和DNAT策略的原理
2.1.1DNAT策略的典型应用环境
2.1.2DNAT策略的原理
2.2DNAT策略的工作原理
2.3DNAT策略的应用
三:防火墙规则的备份和还原
四:tcpdump—Linux抓包
五:总结
引言:本章学习SNAT的原理和DNAT的原理,SNAT是源映射,源地址改变,目标地址不变;DNAT是目的映射,源地址不变,目的地址改变;我们需要熟悉并掌握。
一:SNAT策略及应用
1.1SNAT应用环境和SNAT策略的原理
1.1.1SNAT策略的典型应用环境
局域网主机共享单个公网ip地址接入internet
1.1.2SNAT策略的原理
源地址转换,Source Network Address Translation
修改数据包的源地址
1.1.3SNAT转换前提条件
①局域网各主机已正确设置IP地址、子网掩码、默认网关地址
②Linux网关开启IP路由转发
Linux想系统本身是没有转发功能,只能路由发送数据
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 将此行写入配置文件
sysctl -p 将取修改后的配置
1.2SNAT策略的工作原理
1.3SNAT策略的应用
前提条件
局域网各主机正确设置IP地址/子网掩码
局域网各主机正确设置默认网关地址
Linux网关支持IP路由转发
实现方法
编写SNAT转换规则
SNAT的实验:俩台虚拟机,一台window 10
(1)俩台虚拟机安装httpd服务以及iptables服务并启动
(2)192.168.137.20机器上进行的操作
①将原先网络连接改成相应网段的自定义模式
②新建一个网卡(ens37)使用VMnet3将网络连接改成10.0.0.0的网段
③修改ens33和ens37的网卡信息
④重启网卡并查看是否修改成功
⑤永久开启ip路由转发
⑥SNAT转换:固定的公网IP地址
(3)192.168.137.15机器上的操作
①更改网络适配器
②修改网卡并重启
(4)windows10机器上的操作
①修改windows10的网络适配器
②修改windows网络设置
③查看是否能够ping通
(4)验证结果
二:DNAT策略及应用
2.1DNAT应用环境和DNAT策略的原理
2.1.1DNAT策略的典型应用环境
在internet中发布位于企业局域网内的服务器
2.1.2DNAT策略的原理
目标地址转换,Destination Network Address Translation
修改数据包的目标地址
2.2DNAT策略的工作原理
2.3DNAT策略的应用
之前的步骤都是一样的下面的实验在之前的SNAT上进行修改了
(1)window10机器上进行操作
①修改windows的网络配置
(2)192.168.137.15机器上进行的操作
①修改网卡并重启
②设置DNAT转换
(3)在windows10机器上查看结果
三:防火墙规则的备份和还原
导出(备份)所有表的规则
iptables-save > /opt/iptables.bak
导入(还原)规则
iptables-restore < /opt/iptables.bak 备份好的文件进行还原
将iptables规则文件保存在 /etc/sysconfig/iptables中,iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables 停止iptables服务会清空掉所有表的规则
systemctl start iptables 启动iptables服务会自动还原/etc/sysconfig/iptables中的规则
四:tcpdump—Linux抓包
tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
(2)-i ens33 ∶只抓经过接口ens33的包
(3)-t ∶不显示时间戳
(4)-s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
(5)-c 100 ∶只抓取100个数据包
(6)dst port ! 22 ∶不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机
(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析
五:总结
本章主要是SNAT和DNAT的原理与它们之间的区别,在工作时,公网是不能直接访问内网的所以我们需要用到SNAT和DNAT进行转换,SNAT是内网访问外网源地址改变,目标地址不变;DNAT是外网访问内网源地址不变,目标地址改变。在工作中我们需要区分不能混淆。
iptables防火墙(二)——SNAT和DNAT相关推荐
- Linux系统的iptables防火墙、SNAT、DNAT原理与设置规则
Linux的iptables防火墙.SNAT.DNAT 一.iptables概述 1.netfilter/iptables关系 2.四表五链 四表 五链 规则表之间的优先顺序 规则链之间的匹配顺序 二 ...
- iptables防火墙之SNAT与DNAT
目录 一.SNAT策略及应用 1.1 SNAT策略概述 1.1.1 SNAT 应用环境 1.1.2 SNAT 原理 1.1.3 SNAT 转换前提条件 1.2 开启SNAT的命令 1.2.1 临时打开 ...
- iptables防火墙与SNAT和DNAT
1.防火墙分类 硬件防火墙 华为E9000 ----------------------------------------- 软件防火墙 iptables Centos5/6 系统默认防火墙 fir ...
- iptables防火墙之SNAT、DNAT策略及应用
目录 一.SNAT原理及应用 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 实现方法 1.4.1 编写SNAT转换规则 1.4.2 路由转发开启方式 SNAT转 ...
- [计算机网络]十三、配置iptables防火墙(SNAT和DNAT的策略及应用、使用layer7应用层过滤功能)
目录 1.iptables和firewalld 1.1.GUI和CLI 1.2.查看内核和系统的版本 1.3.IP tables和netfilter的关系 编辑 1.4.NAT概述 2.SNAT策略 ...
- iptables中的snat与dnat配置技术文档
文章目录 一.SNAT实验: 二.DNAT实验 首先需要弄清楚snat与dnat的区别: 从定义来讲它们一个是源地址转换(snat),一个是目的地址转换(dnat).都是地址转换的功能,将私有地址转换 ...
- Linux包过滤防火墙(SNAT,DNAT)
文章目录 一.Linux包过滤防火墙概述 二.iptables的表,链结构 三.数据包过滤的匹配流程 四.iptables的基本语法 五.设置默认策略 六.数据包的常见类型 七.规则的匹配条件 1.匹 ...
- 防火墙之SNAT和DNAT
文章目录 1 SNAT 原理与应用 1.1 SNAT 应用环境和策略的原理 1.2 SNAT 工作原理 1.3 SNAT 转换前提条件 1.4 路由转发开启方式 1.5 SNAT转换 1.6 小知识扩 ...
- iptables 防火墙中的SNAT和DNAT
目录 前言 一.SNAT策略 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 SNAT转换流程 1.4 SNAT 应用 1.4.1 临时打开 1.4.2 永久打开 ...
最新文章
- 面试题: mysql数据库 已看1 简单的sql练习
- 到底一台服务器能够支持多少TCP并发连接?
- 防雪崩利器:熔断器 Hystrix 的原理与使用
- ASP.NET MVC学习资料 新增几个开源项目
- PLSQL的截取函数
- JDBC如何连接mysql数据库附详细步骤
- [Leedcode][JAVA][第355题][设计推特][面向对象][哈希表][链表][优先队列]
- 从“删库跑路”这件事聊聊数据安全那些事
- android系统(9)---android工具网站
- WebStorm 自定义字体+颜色+语法高亮+导入导出用户设置
- 数据库分表处理设计思想和实现
- LINUX编译GtkLP(开源的打印机图形化工具)
- mysql数据恢复或数据找回方法
- c语言斐波那契数列_母函数——斐波那契数列通项公式
- 初入职场着装宝典(BOY)
- Java自学路线总结
- Redis 入门和 RedisTemplate 常用方法(常用命令 + 案例源码)
- Terminator zsh
- Adobe Illustrator CC 关于路径查找器的使用
- coalesce---一个很有用的函数