首页 > 其他分享 >网络防火墙之SNAT

网络防火墙之SNAT

时间:2024-08-29 08:57:19浏览次数:9  
标签:POSTROUTING seq IP 防火墙 192.168 网络 37.122 SNAT

网络防火墙

NAT NAT: network address translation   PREROUTING,INPUT,OUTPUT,POSTROUTING   请求报文:修改源/目标IP,由定义如何修改   响应报文:修改源/目标IP,根据跟踪机制自动实现 SNAT:source NAT POSTROUTING, INPUT   让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装   请求报文:修改源IP 准备: firewall:开启ip_forward功能   [root@firewall ~]#vim /etc/sysctl.conf   net.ipv4.ip_forward = 1   [root@firewall ~]#sysctl -p   [root@firewall ~]#sysctl -a   1、SNAT:   场景:SNAT固定IP映射:模拟内网访问外网地址转换,策略添加在nat表的POSTROUTING链上chain     1.1、固定IP nat表的target:   SNAT:固定IP:     可以是一个连续范围:     --to-source [ipaddr[-ipaddr]][:port[-port]]     --random 规范:iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT --to source ExtIP 示例: iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! –d 10.0.0.0/24 -j SNAT --to-source 192.168.37.121 示例:SNAT固定IP映射:
 1 [root@firewall-121 ~]# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.37.121
 2 #/模拟内外IP ping外网/
 3 [root@CentOS7-108 ~]# ping 192.168.37.122
 4     PING 192.168.37.122 (192.168.37.122) 56(84) bytes of data.
 5     64 bytes from 192.168.37.122: icmp_seq=1 ttl=63 time=0.712 ms
 6     64 bytes from 192.168.37.122: icmp_seq=2 ttl=63 time=1.89 ms
 7     64 bytes from 192.168.37.122: icmp_seq=3 ttl=63 time=0.585 ms
 8     64 bytes from 192.168.37.122: icmp_seq=4 ttl=63 time=0.512 ms
 9     ...
10 #/模拟外网tcpdump抓包,地址已转换为内外出口IP/
11 [root@CentOS7-122 ~]# tcpdump -i ens33 -nn 
12 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
13 listening on ens33, link-type EN10MB (Ethernet), capture size 262144 bytes
14 09:56:08.485437 IP 192.168.37.121 > 192.168.37.122: ICMP echo request, id 13431, seq 9, length 64
15 09:56:08.485457 IP 192.168.37.122 > 192.168.37.121: ICMP echo reply, id 13431, seq 9, length 64
16 09:56:09.485988 IP 192.168.37.121 > 192.168.37.122: ICMP echo request, id 13431, seq 10, length 64
17 09:56:09.486012 IP 192.168.37.122 > 192.16P echo rep8.37.121: ICMly, id 13431, seq 10, length 64
View Code

 

1.2、动态IP MASQUERADE:动态IP,如拨号网络   --to-ports port[-port]   --random 规范:iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE 示例: iptables -t nat -A POSTROUTING -s 10.0.0.0/24 ! –d 10.0.0.0/24 -j MASQUERADE 示例:SNAT动态IP映射:
1 [root@firewall ~]# iptables -t nat -R POSTROUTING 1 -s 10.0.0.0/24 -j MASQUERADE
View Code

 

标签:POSTROUTING,seq,IP,防火墙,192.168,网络,37.122,SNAT
From: https://www.cnblogs.com/cnblogsfc/p/14183808.html

相关文章

  • 网络防火墙之自定义chain
    网络防火墙自定义链链管理:-N:new,自定义一条新的规则链-X:delete,删除自定义的空的规则链-P:Policy,设置默认策略;对filter表中的链而言,其默认策略有:ACCEPT:接受DROP:丢弃-E:重命名自定义链;引用计数不为0的自定义链不能够被重命名,也不能被删除 ......
  • 网络防火墙之REDIRECT
    网络防火墙REDIRECT:NAT表可用于:PREROUTINGOUTPUT自定义链通过改变目标IP和端口,将接受的包转发至不同端口--to-portsport[-port] 准备:firewall:开启ip_forward功能[root@firewall~]#vim/etc/sysctl.confnet.ipv4.ip_forward=1......
  • 网络防火墙之DNAT
    网络防火墙NATNAT:networkaddresstranslationPREROUTING,INPUT,OUTPUT,POSTROUTING请求报文:修改源/目标IP,由定义如何修改响应报文:修改源/目标IP,根据跟踪机制自动实现DNAT:destinationNATPREROUTING,OUTPUT把本地网络中的主机上的某服务开放给外部网络......
  • 网络文件共享之vsftp
    文件传输协议FTP一、概述文件传输协议:FileTransferProtocol 架构:C/S服务端口:21/tcp 20/tcp双通道协议:命令连接和数据连接数据传输格式:二进制(默认)和文本两种模式:从服务器角度主动模式(PORTSTYLE):服务器主动发起数据连接......
  • 直连QEMU虚拟机之网络模式
    要直接连接到QEMU虚拟机,而不通过端口转发的方式,可以采用桥接网络(BridgedNetworking)或创建一个虚拟网络接口卡(TAP)的方式,让虚拟机与宿主机处于同一网络中。这样,虚拟机可以直接获得一个与宿主机相同网段的IP地址,从而使得宿主机可以直接连接到虚拟机。以下是详细的操作步骤:方......
  • 网络-VPN
    VPN(VirtualPrivateNetwork,虚拟专用网络)是一种网络技术,用于在公共网络(如互联网)上建立一个安全的、加密的连接通道,以保护数据传输的安全性和隐私。通过使用VPN,用户可以在不受地理位置限制的情况下访问网络资源,同时保护自己的在线活动不被监视。VPN的主要特点包括:加密通......
  • Scratch跨入网络世界:探索数据解析与网络请求的编程之旅
    标题:Scratch跨入网络世界:探索数据解析与网络请求的编程之旅在当今数字化时代,编程已不再局限于本地操作,网络功能的需求日益增长。Scratch,这个广受好评的图形化编程平台,也紧跟时代的步伐,提供了对网络请求和数据解析的支持。本文将深入探讨Scratch在网络功能方面的应用,通过实......
  • 深入解析VLAN:现代网络架构的关键技术
    ​一、什么是VLAN?VLAN(virtuallocalAreaNetwork)虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN是一个广播域,VLAN内的主机间可以直接通信,而VLAN之间不能直接互通。这样,广播报文就被限制在了一个VLAN内。二、为什么需要VLAN?早期的以太网是一......
  • 网络的基本标签
    网络的基本标签标题标签段落标签换行标签水平线标签字体样式标签注释和特殊符号标题标签<!DOCTYPEhtml><htmllang="en"><head><metacharset="UTF-8"><title>基本标签学习</title></head><body><!--标题标签--><h1>......
  • Docker网络模型深度解析
    Docker的网络模型是Docker容器之间以及与宿主机之间进行通信的基础。Docker提供了几种不同的网络模式,包括bridge(桥接模式,默认模式)、host(主机模式)、none(无网络模式)、container(容器模式)以及自定义网络(如overlay网络,用于DockerSwarm)。这里,我们将详细解析bridge网络模式,并......