提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
- 一、SNAT 原理与应用
- 二、SNAT转换
- 三、DNAT的介绍
- 1.DNAT概述
- 2.DNAT转换前提条件
- 四、DNAT转换
- 五、防火墙规则的备份和还原
- 六、tcpdump抓包工具的运用
一、SNAT 原理与应用
- SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)
SNAT原理: 修改数据包的源地址。
SNAT转换前提条件:
- 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- 2.Linux网关开启IP路由转发
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
永久打开:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件
sysctl -p #读取修改后的配置
二、SNAT转换
固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens33 -j MASQUERADE
三、DNAT的介绍
- DNAT 的全称为Destination Network Address Translation目的地址转换,常用于防火墙中
1.DNAT概述
DNAT:目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说,合法地址的数量比起本地内部的地址数量来要少得多。
私网地址只能作为源地址来访问公网IP,而无法作为目标地址被其他主机访问
所以DNAT将私网中web服务器映射到公网IP,使其公网IP作为目标地址被公网中主机进行访问
DNAT 应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:修改数据包的目的地址。
2.DNAT转换前提条件
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
四、DNAT转换
发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.30.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.30.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.30.10
发布时修改目标端口
#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22
#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1
注意!:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回
主机型防火墙: 主要使用 INPUT、OUTPUT 链,设置规则时一般要详细的指定到端口
网络型防火墙: 主要使用 FORWARD 链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可
五、防火墙规则的备份和还原
`导出(备份)所有表的规则`
iptables-save > /opt/ipt.txt
`导入(还原)规则`
iptables-restore < /opt/ipt.txt
`将iptables规则文件保存在 /etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则`
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables ##停止iptables服务会清空掉所有表的规则
systemctl start iptables ##启动iptables服务会自动还原/etc/sysconfig/iptables 中的规则
六、tcpdump抓包工具的运用
- tcpdump是Linux系统中自带抓包工具
tcpdump tcp -i ens32 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.30.0/24 -w ./target.cap
字段说明:
| 字段 | 说明 |
|---|---|
| tcp | ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。 |
| -i ens33 | 只抓经过接口ens33的包。 |
| -t | 不显示时间戳 |
| -s0 | 抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。 |
| -c 100 | 只抓取100个数据包。 |
| dst port ! 22 | 不抓取目标端口是22的数据包。 |
| src net 192.168.1.0/24 | 数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。 |
| -w ./target.cap | 保存成cap文件,方便用ethereal (即wireshark)分析。 |
