一.SNAT策略概述
1.SNAT 策略的典型应用环境
局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
局域共享上网
2.SNAT 策略的原理
源地址转换,Source Network Address Translation
修改数据包的源地址
未作SNAT转换时的情况
进行SNAT转换后的情况
3.SNAT转换前提条件
局域网各主机已正确设置IP地址、子网掩码
局域网各主机正确设置默认网关地址
Linux网关支持IP路由转发
修改内核参数为1
临时打开的方法:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
#只能临时生效,重启服务器之后会返回为0
永久打开的方法:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件
sysctl -p #读取修改后的配置
4.配置SNAT 内网连接外网实现源地址转换
第一步:准备虚拟机
准备三台虚拟机;一台当作网关服务器;一台当作外网web服务器;一台当作内网客户机;为了区分内网和外网的区别,设置两个VMnet;VMnet1作为内网;VMnet2作为外网;
第二步:为网关服务器添加配置
(1)多添加一个网络适配器
(2)修改网卡和新网卡配置
记得把复制过来的名字也要修改,之后重启网卡即可;
(3)网关服务器设置同意路由转发
#永久启用
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
sysctl -p
#若 net.ipv4.ip_forward=0 即无法连通外网地址
第三步:配置客户机
第四步:配置外网web服务器
(1)配置网卡
(2)安装并启动httpd软件
yum install -y httpd
systemctl restart httpd
netstat -lntp | grep :80 #查看软件是否开启
第五步:关闭防火墙和syslinux
systemctl stop firewalld
setenforce 0
第六步:配置SNAT源地址转换
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o ens36 -j SNAT --to 12.0.0.10
拓展:tcpdump Linux系统抓包工具
tcpdump tcp -i ens33 -t -s 0 -c 100 and port ! 22 and net 192.168.1.0/24 -w ./target.cap
tcp 协议 port 端口 [src/dst] net 网段 -i 网卡 -s 0 -w XXX.cap
host 主机IP
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些协议选项等都要放到第一个参数的位置,用来过滤数据包的类型;
(2)-i ens33 : 只抓经过接口ens33的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)port ! 22 : 不抓取端口是22的数据包
(7)net 192.168.1.0/24 : 数据包的网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件,方便用ethereal(即wireshark)分析
第七步:在内网ping外网服务器,并用tcpdump抓包工具查看信息;
内网:
ping -c 10 12.0.0.20 #先ping
外网:
tcpdump -i ens33 -s 0 -w ./test2.cap #再tcpdump抓包;内网ping完后
sz test1.cap 到真机文件中,使用 winsharp 进行查看抓包
之后,就可以了;配置完成。
SNAT 内网 --> 外网 转换源地址
iptables -t nat -A POSTROUTING -s 内网的源地址/网段 -o 出站网卡 -j SNAT --to 要转换的公网源地址
5.共享动态IP地址上网
MASQUERADE--地址伪装
适用于外网IP地址非固定的情况
对于ADSL拨号连接,接口通常为 ppp0、ppp1
将SNAT规则改为MASQUERADE即可
二.DNAT策略概述
1.DNAT策略的典型应用环境
在Internet中发布位于局域网内的服务器
2.DNAT策略的原理
目标地址转换,Destination Network Address Translation
修改数据包的目的地址
3.DNAT转换的前提条件
局域网的Web服务器能够访问Internet
网关的外网IP地址有正确的DNS解析记录
Linux网关支持IP路由转发
4.配置DNAT
拓扑图
第一步:准备虚拟机设置IP地址和网关
将一台主机放在内网,作为Web服务器,两台作为客户端放在外网,一台作为网关务器
与DNAT实验时相反,这次的web服务器在内网环境,服务机在公网环境
第二步:准备DNS服务器给外网客户端使用
yum install -y bind
要保证镜像已挂载
vim /etc/named.conf
vim /etc/named.rfc1912.zones
cd /var/named/
cp -p named.localhost xy101.com.zone
vim xy101.com.zone
systemctl start named
systemctl enable named
去客户机验证;要在 /etc/resolv.conf 文件总提前添加配置
vim /etc/resolv.conf
nameserver 12.0.0.30
nsloookup www.xy101.com
第二步:配置内核配置文件,添加ip_forward 实现路由转发功能的开启
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
保存退出之后
sysctl -p
客户机验证;能 ping 通就是成功
ping 192.168.80.30
ping 12.0.0.30
ping 12.0.0.100
ping 12.0.0.200
第三步:作DNAT转换
用客户机做网页查询;没有任何反应
添加这条配置即可实现访问网址 ; 记得关闭防火墙
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.30 -p tcp --dport 80 -j DNAT --to 192.168.80.15:80
实现远程登录Web服务器
添加这条配置
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.30 -p tcp --dport 2345 -j DNAT --to 192.168.80.15:22
域名和IP地址都可以实现
DNAT 外网 --> 内网 转换目的地址:端口
iptables -t nat -A PREROUTING -i 入站网卡 -d 原公网目的地址 -p 协议 --dport 原目的端口 -j DNAT --to 要转换的内网目的地址:端口