Linux中的SNAT与DNAT实践

news2024/11/27 10:39:43

Linux中的SNAT与DNAT实践

1、SNAT的介绍
- 1.1，SNAT概述
- 1.2，SNAT源地址转换过程
- 1.3，SNAT转换
2、DNAT的介绍
- 2.1，DNAT概述
- 2.2，DNAT转换前提条件
- 2.3，DNAT的转换
3、防火墙规则的备份和还原
- 4、tcpdump抓包工具的运用

1、SNAT的介绍

1.1，SNAT概述

SNAT（SNAT）一般指源地址转换。源地址转换是内网地址向外访问时，发起访问的内网ip地址转换为指定的ip地址（可指定具体的服务以及相应的端口或端口范围），这可以使内网中使用保留ip地址的主机访问外部网络，即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。

SNAT 应用环境：局域网主机共享单个公网IP地址接入Internet（私有不能早Internet中正常路由）。
SNAT原理：修改数据包的源地址。
SNAT转换前提条件：局域网各主机已正确设置IP地址、子网掩码、默认网关地址、Linux网关开启IP路由转发。

临时打开：
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
 
永久打开：
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

1.2，SNAT源地址转换过程

数据包从内网发送到公网时，SNAT会把数据包的源地址由私网IP转换成公网IP。
当相应的数据包从公网发送到内网时，会把数据包的目的地址由公网IP转换为私网IP。
当内网有多台主机访问外网时，SNAT在转换时会自动分配端口，不同内网主机会通过端口号进行区分。

1.3，SNAT转换

固定的公网IP地址：
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
 
非固定的公网IP地址（共享动态IP地址）：
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens33 -j MASQUERADE

2、DNAT的介绍

DNAT 的全称为Destination Network Address Translation目的地址转换，常用于防火墙中。

2.1，DNAT概述

DNAT：目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说，合法地址的数量比起本地内部的地址数量来要少得多。
私网地址只能作为源地址来访问公网IP，而无法作为目标地址被其他主机访问
所以DNAT将私网中web服务器映射到公网IP，使其公网IP作为目标地址被公网中主机进行访问
DNAT 应用环境：在Internet中发布位于局域网内的服务器
DNAT原理：修改数据包的目的地址。

2.2，DNAT转换前提条件

局域网的服务器能够访问Internet
网关的外网地址有正确的DNS解析记录
Linux网关开启IP路由转发

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

2.3，DNAT的转换

DNAT转换1：发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.30.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.30.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.30.10

DNAT转换2：发布时修改目标端口

#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22
 
#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

注意：使用DNAT时，同时还有配合SNAT使用，才能实现响应数据包的正确返回。
主机型防火墙：主要使用 INPUT、OUTPUT 链，设置规则时一般要详细的指定到端口。
网络型防火墙：主要使用 FORWARD 链，设置规则时很少去指定到端口，一般指定到IP地址或者到网段即可。

3、防火墙规则的备份和还原

`导出（备份）所有表的规则`
iptables-save > /opt/ipt.txt
 
`导入（还原）规则`
iptables-restore < /opt/ipt.txt
 
`将iptables规则文件保存在 /etc/sysconfig/iptables 中，iptables服务启动时会自动还原规则`
iptables-save > /etc/sysconfig/iptables  
systemctl stop iptables			##停止iptables服务会清空掉所有表的规则
systemctl start iptables		##启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则

4、tcpdump抓包工具的运用

# tcpdump是Linux系统中自带抓包工具
tcpdump tcp -i ens32 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.30.0/24 -w ./target.cap

=== 字段说明 ===
tcp       ：ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。
-i  ens33 ：只抓经过接口ens33的包。
-t	      ：不显示时间戳
-s0	      ：抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。
-c 100	  ：只抓取100个数据包。
dst port ! 22	        ：不抓取目标端口是22的数据包。
src net 192.168.1.0/24	：数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机。
-w ./target.cap	        ：保存成cap文件，方便用ethereal （即wireshark）分析。