免费网站建设新技术,青岛做网站多少钱,xampp做的网站能搜索吗,广州商城网站建设报价1.SNAT是什么 SNAT又称源地址转换。源地址转换是内网地址向外访问时#xff0c;发起访问的内网ip地址转换为指定的ip地址#xff08;可指定具体的服务以及相应的端口或端口范围#xff09;#xff0c;这可以使内网中使用保留ip地址的主机访问外部网络#xff0c;即内网的多… 1.SNAT是什么 SNAT又称源地址转换。源地址转换是内网地址向外访问时发起访问的内网ip地址转换为指定的ip地址可指定具体的服务以及相应的端口或端口范围这可以使内网中使用保留ip地址的主机访问外部网络即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。 真实环境运用中私网可以通过路由转发将数据包传送给公网IP地址的服务器而公网地址无法将相应的数据包回还给私网地址的用户。此时二者之间需要一个媒介就是一个建立在私网和公网之间的网关服务器对其之间的数据包进行相应的处理。来完成私网IP与公网IP之间的建立联系 2.DNAT是什么 DNAT目的地址转换的作用是将一组本地内部的地址映射到一组全球地址。通常来说合法地址的数量比起本地内部的地址数量来要少得多。
私网地址只能作为源地址来访问公网IP而无法作为目标地址被其他主机访问
所以DNAT将私网中web服务器映射到公网IP使其公网IP作为目标地址被公网中主机进行访问 简单来说
SNAT是对源地址转换
DNAT是对目的地址转换 SNAT的典型应用场景 SNAT策略的工作原理 SNAT源地址转换过程 数据包从内网发送到公网时SNAT会把数据包的源地址由私网IP转换成公网IP。 当相应的数据包从公网发送到内网时会把数据包的目的地址由公网IP转换为私网IP。 当内网有多台主机访问外网时SNAT在转换时会自动分配端口不同内网主机会通过端口号进行区分。 如何用iptables实现地址转换 准备任务
1.准备三台虚拟机 2.给网关服务器添加一张虚拟网卡 3.拓扑 test120.0.0.10 内网
test2ens33 20.0.0.254
ens3612.0.0.254
做SNAT的地址转换
test312.0.0.100 外网 过程 关闭防火墙
编辑网卡信息
首先ifconfig查看网卡名称我这里是ens36 cd /etc/sysconfig/network-scripts
#进入该路径
cp ifcfg-ens33 ifcfg-ens36
#创建新网卡信息 TYPEEthernet
DEVICEens36
ONBOOTyes
BOOTPROTOstatic
IPADDR12.0.0.254
NETMASK255.255.255.0
#GATEWAY20.0.0.2
#DNS18.8.8.8此处不用设置网关因为要充当内网网关
TYPEEthernet
DEVICEens33
ONBOOTyes
BOOTPROTOstatic
IPADDR20.0.0.254
NETMASK255.255.255.0
#GATEWAY20.0.0.2
#DNS18.8.8.8客户机配置
TYPEEthernet
DEVICEens33
ONBOOTyes
BOOTPROTOstatic
IPADDR20.0.0.10
NETMASK255.255.255.0
GATEWAY20.0.0.254
#DNS1218.2.135.1web配置
TYPEEthernet
DEIVCEens33
ONBOOTyes
BOOTPROTOstatic
IPADDR12.0.0.100
NETMASK255.255.255.0
GATEWAY12.0.0.254
#DNS18.8.8.8网卡配置结束后要通过iptables命令添加 iptables -t nat -A POSTROUTING -s 20.0.0.0/24 -o ens36 -j SNAT --to 10.0.0.10-t指定表名
nat地址转换的表名
-A添加一条规则在行尾追加
POSTROUTING在出本机的时候添加一个地址转换的规则
-s192.168.233.0/24 指定源IP地址
-j SNAT指定控制类型
--to 10.0.0.10 所有源IP属于233.0这个网段只要你是从ens36出来都会把它们IP地址转换为10.0.0.10
完成之后 iptables -t nat -vnL查看 最后网关服务器要同意转发 vim /etc/sysctl.conf sysctl -p 立即启动 客户端链接web端内网链接外网测试 DNAT地址转换 iptables -t nat -A PREROUTING -d 11.0.0.11 -i ens36 -p tcp --dport 80 -j DNAT --to 20.0.0.10:80
web端连接客户端测试 实验结束 Linux抓包技术--tcpdump tcpdump为Linux自带的抓包工具
wireshark只适用于Windows
抓包方式
1.指定抓包数量
2.动态抓包一致会获取包除非人工停止
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and net 20.0.0.0/24 -w ./target.cap
tcpdump抓包命令固定开头
tcp抓包的协议
-i经过只抓经过ens33的数据包
-t不显示时间戳
-s0抓完整的数据包
-c指定抓包的个数
dst port:80 访问的是httpd的80端口
src net192.168.233.0/24
-w抓包的数据保存位置。 firewalld技术 firewalldcentos7自带的和iptables一样也是包过滤防火墙
firewalld过滤通过区域来进行配置
iptables 静态防火墙
firewalld 动态防火墙 firewalld 分为以下几个区域 trusted 信任区所有流量都可以传入 public 公共区域允许ssh或者dhcpv6-client的流量可以传入其他的全部拒绝也是firewalld的默认区域。 external外部区域允许ssh或者dhcpv6-client的流量可以传入其他的全部拒绝默认通过此区域转发的ipv4流量地址可以进行伪装 home 家庭区域允许ssh或者dhcpv6-client的流量可以传入其他的全部拒绝 internal内部区域默认值与home区域的作用相同 work 工作区域允许ssh或者dhcpv6-client的流量可以传入其他的全部拒绝 DMZ 隔离区 非军事区允许ssh其他的预定义好配置其他的全部拒绝 block限制区拒绝所有流量 drop丢弃区域所有流量都会丢弃 firewalld相关命令 firewall-cmd --list-service
查看区域内允许通过的服务 firewall-cmd --add-servicehttp --zonepublic
添加浏览器20.0.0.10即可看到是否成功 firewall-cmd --remove-servicehttp --zonepublic
删除 firewall-cmd --add-servicehttp --add-serviceftp --zonepubilc
添加多个服务
firewall-cmd --list-services
查看
firewall-cmd --add-service{ftp,http}
添加多个的不同方法 firewall-cmd --add-service{ftp,http} --zonepublic --permanent
永久生效
firewall-cmd --remove-servicehttp --zonepublic --permanent
删除永久生效的项 firewall-cmd --zonepublic --add-port80/tcp
根据端口添加
firewall-cmd --zonepublic --remove-port80/tcp
移除 firewall-cmd --zone指定区域
firewall-cmd --zonepublic -add-port{3306,80,21}/tcp
添加多个端口
firewall-cmd --zonepublic -add-port30-35/tcp
添加端口的范围
firewall-cmd --list-all 查看
