一、SNAT原理与应用

将内网的数据包的源地址转发给路由器改为公网ip(内转外)
SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
SNAT原理:源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映谢
SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址

Linux网关开启IP路由转发
linxu系统本身是没有转发功能 只有路由发送数据

临时打开
echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -w net.ipv4.ip_forward=1两种方法
 
永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 将此行写入配置文件
sysctl -p 读取修改后的配置

SNAT转换1:固定的公网IP地址:
#配置SNAT策略，实现snat功能，将所有192.168.100.0这个网段的ip的源ip改为10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1

                                可换成单独IP  出站 外网网卡        外网IP

或
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10

                                    内网IP  出站 外网网卡                 外网IP或地址池

SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

小知识扩展:
一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网。

案列:

1.给服务器和路由器(以liunx替代)做好准备工作(安装iptables和关闭firewalld防火墙)

一个内网的windows虚拟机,一个充当路由器的两张网卡的liunx虚拟机,一个外网网卡的liunx虚拟机

关闭firewalld防火墙

systemctl stop firewalld.service
systemctl disable firewalld.service

安装iptables 防火墙

yum -y install iptables iptables-services

设置iptables开机启动

systemctl start iptables.service
systemctl enable iptables.service

2.如果安装了iptables,设置80端口的访问为允许(liunx1:充当服务器)

3.设置ens36网卡的地址为10.0.0.1(liunx2:充当路由器)

VMnet1是内网
VMnet2是外网

ens36充当外网网关,所以原本的网关和dns取消设置,删除UUID

ens33充当内网网关,所以原本的网关和dns取消设置

永久开启ip路由转发

iptables -F      #先清空全部规则
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1
#将内网192.168.100.0这个网段下的子网,由ens33发出的数据包的ip地址转换成公网ip地址
----------------
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE  #动态公网ip
iptables -t nat -I POSTROUTING -o ens36 -j MASQUERADE
#用于当数据包从 ens36 接口离开时进行源地址转换,自动将源地址转换为出口接口的IP地址，适用于动态分配的IP地址（如DHCP）

4.修改liunx1服务器的ip地址和网关

5.设置内网windows虚拟机

访问成功

二、DNAT(外网转内网)

iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.100.254
#所有目标IP为 12.0.0.254，通过 ens36 接口，协议为 TCP，目标端口为 80 的数据包的目的地转换为 192.168.100.254

注意:使用DNAT时，同时还有配合SNAT使用，才能实现响应数据包的正确返回

cp /etc/sysconfig/iptables /etc/sysconfig/iptables.bak    #创建规则集的备份
iptables-save > /etc/sysconfig/iptables                   #保存新规则(就是修改/etc/sysconfig/iptables文件)

iptables-restore < /etc/sysconfig/iptables.bak            #使用备份文件进行恢复

内网服务器IP
iptables -t nat -A PREROUTING -i ens37 -p tcp --dport 80 -j DNAT --to 192.168.100.13-192.168.100.20
																			地址段
DNAT转换2:发布时修改目标端口
#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens37 -d 10.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.100.13:22
							入站外网网卡    外网IP           外网远程端口			 内网IP和远程端口号
#在外网环境中使用SSH测试
ssh -p 250 root@10.0.0.1  

yum -y install net-tools    #若没有ifconfig 命令可提前使用yum 进行安装
ifconfig ens33

iptables -nvL -t nat  查看

tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i ens33 : 只抓经过接口ens33的包
(3)-t : 不显示时间戳
(4)-s 0: 抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
(5)-c 100 :只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析