SNAT和DNAT原理及应用

目录

一、SNAT原理及应用

1：定义：

1.1;SNAT的典型应用环境：

1.2:SNAT策略的原理

2:SNAT策略的配置

2.1:SNAT转换前提条件

2.2:Linux网关开启IP路由转发

3:示例

3.1：SNAT转换1：固定的公网IP地址

3.2：SNAT转换2：非固定的公网IP地址(共享动态IP地址)

3.3：小知识扩展：

二、DNAT原理及应用

1：定义：

1.1：DNAT策略的应用环境：

 1.2：DNAT策略的原理

2：DNAT策略的配置

2.1：DNAT转换前提条件

2.2：DNAT转换1：发布内网的Web服务

三、防火墙规则的备份和还原

1：规则的自动备份和加载

2：手动备份和还原

2.1：导出（备份）所有表的规则

2.2：导入（还原）规则

3：tcpdump—Linux抓包

四、总结

---

一、SNAT原理及应用

1：定义：

1.1;SNAT的典型应用环境：

局域网主机共享单个公网IP地址接入Internet。（私有IP不能在Internet中正常路由）

1.2:SNAT策略的原理

修改数据包的源地址

2:SNAT策略的配置

2.1:SNAT转换前提条件

1. 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2. Linux网关开启IP路由转

 

2.2:Linux网关开启IP路由转发

1、临时开启：

 echo 1 > /proc/sys/net/ipv4/ip_forward

 或

 sysctl -w net.ipv4.ip_forward=1

2、永久开启：

 vim /etc/sysctl.conf

 net.ipv4.ip_forward=1    #将此行写入配置文件  ​

 sysctl -p     #读取修改后的配置

3:示例

3.1：SNAT转换1：固定的公网IP地址

#配置SNAT策略，实现SNAT功能，将所有192.168.72.0这个网段内的ip的源地址改为12.0.0.2  iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2  

 或

 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to-source 12.0.0.2-12.0.0.10  

​  #-A POSTROUTING 指定POSTROUTING链

 #-s 192.168.72.0/24 源地址所处的网段（内网IP）

 #-o ens33 出站网卡

 #-j SNAT

#--to 12.0.0.2   外网IP

 #--to-source 12.0.0.2-12.0.0.10   外网地址池

3.2：SNAT转换2：非固定的公网IP地址(共享动态IP地址)

 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADE

3.3：小知识扩展：

一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网

二、DNAT原理及应用

1：定义：

1.1：DNAT策略的应用环境：

在Internet中发布位于企业局域网内的服务器

 1.2：DNAT策略的原理

修改数据包的目标地址

2：DNAT策略的配置

2.1：DNAT转换前提条件

1. 局域网的服务器能够访问Internet
2. 网关的外网地址有正确的DNS解析记录
3. Linux网关开启IP路由转发

vim /etc/sysctl.conf

 net.ipv4.ip_forward=1    #将此行写入配置文件  

​ sysctl -p     #读取修改后的配置

2.2：DNAT转换1：发布内网的Web服务

 #把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.72.10  iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.102

 或

 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10-192.168.72.20  ​

 #-A PREROUTING       //修改目标地址的链 

#-i ens33          //入站网卡

 #-d 12.0.0.254       //数据包的目的地址

 #-p tcp --dport 80   //数据包的目的端口  

#-j DNAT             //使用DNAT功能

 #--to 192.168.109.11 //内网服务器IP

三、防火墙规则的备份和还原

1：规则的自动备份和加载

iptables有一个默认备份文件 /etc/sysconfig/iptables ，iptables服务在每次重启后会自动加载该文件。

 #将iptables规则文件保存在 /etc/sysconfig/iptables，iptables服务启动时会自动还原规则。  iptables-save > /etc/sysconfig/iptables  

systemctl stop iptables   #停止iptables服务会清空掉所有表的规则

 systemctl start iptables  #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

2：手动备份和还原

自动备份并加载，只能还原最新的防火墙规则。

如果手动备份，例如每天生成一个以日期为名称的备份文件，那么在还原时可以有选择地进行还原。比如选择上个月某一天的规则文件进行导入还原。

2.1：导出（备份）所有表的规则

 iptables-save > /opt/ipt.txt

2.2：导入（还原）规则

 iptables-restore < /opt/ipt.txt

3：tcpdump—Linux抓包

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

（2）-i ens33 ：只抓经过接口ens33的包。

（3）-t：不显示时间戳

（4）-s 0 ：抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

（5）-c 100 ：只抓取100个数据包。

（6）dst port ! 22 ：不抓取目标端口是22的数据包。

（7）src net 192.168.1.0/24 ：数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机。

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析。

四、总结

SNAT源地址转换过程（针对客户端）

DNAT源地址转换过程（针对服务器）