牛网站建设,重庆比较好的软件开发培训学校,培训机构老师何去何从,学院网站建设自评防火墙之iptables#xff08;二#xff09;
一.SNAT原理与应用
1.应用环境
局域网主机共享单个公网IP地址接入Internet#xff08;私网不能被Internet中正常路由#xff09;2.SNAT原理
修改数据包的源地址内网访问外网
将从内网发送到外网的数据包的源IP由私网IP转换成…防火墙之iptables二
一.SNAT原理与应用
1.应用环境
局域网主机共享单个公网IP地址接入Internet私网不能被Internet中正常路由2.SNAT原理
修改数据包的源地址内网访问外网
将从内网发送到外网的数据包的源IP由私网IP转换成公网IP将从外网服务器响应的数据包的目的IP由公网IP转换成私网IP。3.SNAT转换前提条件
关闭防火墙安装iptabels
systemctl stop firewalld
setenforce 0
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址客户端为内网配置客户端IP地址、子网掩码、默认网关地址
服务器为外网配置客户端IP地址、子网掩码、默认网关地址
网关服务器配置两张网卡一张为内网内网网关为内网主机地址一张外网外网网关为外网的主机地址。
Linux网关开启IP路由转发
临时打开
echo 1 /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward1永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward 1 #将此行写入配置文件sysctl -p #读取修改后的配置SNAT转换1固定的公网IP地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10内网IP 出站 外网网卡 外网IP或地址池 SNAT转换2非固定的公网IP地址共享动态IP地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE小知识扩展
一个IP地址做SNAT转换一般可以让内网 100到200 台主机实现上网。
4.实验 二.DNAT原理与应用
1.DNAT 应用环境
在Internet中发布位于局域网内的服务器2.DNAT原理
修改数据包的目的地址将从外网发送的数据包的目的IP由公网IP/端口转换成私网IP/端口网关服务器根据私网IP发送给私网服务器将从内网服务器发送的响应数据包的源IP由私网IP/端口转换成公网IP/端口。3.Linux网关开启IP路由转发
关闭防火墙安装iptabels
systemctl stop firewalld
setenforce 01.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3.Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward 1 sysctl -p DNAT转换1发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.10入站 外网网卡 外网IP 内网服务器IPiptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.20DNAT转换2发布时修改目标端口
#发布局域网内部的OpenSSH服务器外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.10:22注意使用DNAT时同时还有配合SNAT使用才能实现响应数据包的正确返回4.实验
三.liunx抓包工具tcpdump
1.相关选项
)tcp: ip icmp arp rarp 和 tp、udp、icmp这些协议选项等都要放到第一个参数的位置用来过滤数据包的类型选项说明-i ens33只抓经过接口ens33的包-t不显示时时间戳-s 0抓取数据包时默认抓取长度为68字节。加上-s 后可以抓到完整的数据包-c 100只抓取100个数据包dst port ! 22不抓取目标端口是22的数据包src net 192,168,1.0/24数据包的源网络地址为192,168,1.0/24-w ./target.cap保存成cap文件方便用ethereal(即wireshark)分析
2.实验 四.iptables规则保存
导出规则
iptables-save xxx
导入规则
ipatables-restore xxx
默认规则文件
/etc/sysconfig/iptables
