1.问题描述
某Linux课程上看到,两次DNAT(端口映射)会导致TCP源丢失的问题,因为本身学过网络相关的知识,理论上并未发现会在哪个节点丢失源的问题,遂实验验证。
2.ensp模拟验证
因为使用手头没有eve模拟器,先使用ensp路由器模拟验证,拓扑如下图
路由器配置nat server
命令如下:
R1
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 172.16.12.1 8081
R2
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8081 inside 172.16.13.2 80经过测试,发现两次DNAT(端口映射,华为称为nat server)后,依然可以正常访问,并不会出现TCP连接无法建立的情况。
为进一步验证,于是搭建eve模拟器环境用liunx进行测试。
3.eve模拟器centos测试
网络拓扑如下图
配置命令如下:
GW1
iptables -t NAT -A PREROUTING -d 101.163.9.102 -p tcp --dport=55023 -j DNAT --to-destination 172.16.12.1:54023stream1
iptables -t NAT -A PREROUTING -d 172.16.12.1 -p txp --dport=54023 -j DNAT --to-destination 172.16.13.2:22打开Linux的路由转发功能
sysctl -w net.ipv4.ip_forward=1
#永久生效
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf经过测试也是可以访问的,最终验证两次DNAT(端口映射)是没有问题的
4.补充
- 以上iptables操作都是临时的,重启后会丢失,永久生效配置如下
yum -y install iptables-services
iptables-save > /etc/sysconfig/iptables
systemctl enable iptables.service --now
#查看命令
iptables -t nat -L -n
- firewalld配置DNAT
```bash
firewalld-cmd --add-forward-port=port=55023:proto=tcp:toport=54023:toaddr=172.16.12.1 --per
firewalld-cmd --reload
