Linux系统之iptables应用SNAT与DNAT
- SNAT
- 1、SNAT的原理介绍
- 1.1SNAT的应用环境
- 1.2SNAT的原理
- 1.3SNAT转化的前提条件
- 2、开启SNAT
- 2.1临时打开
- 2.2永久打开
- 3、SNAT的转换
- 3.1固定的公网IP地址
- 3.2非固定的公网IP地址(共享动态IP地址)
- DNAT
- 1、DNAT的原理介绍
- 1.1应用环境
- 1.2DNAT原理
- 1.3DNAT转换前提条件
- 2、DNAT的转换
- 2.1发布内网的Web服务
- SNAT和DNAT实验
SNAT
1、SNAT的原理介绍
1.1SNAT的应用环境
SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
1.2SNAT的原理
SNAT原理:源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映谢
数据包从内网发送到公网时,SNAT会把数据包的源IP由私网IP转换成公网IP
当响应的数据包从公网发送到内网时,会把数据包的目的IP由公网IP转换为私网IP
1.3SNAT转化的前提条件
- 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- 2.Linux网关开启IP路由转发
注意:linxu系统本身是没有转发功能,只有路由发送数据
2、开启SNAT
2.1临时打开
echo 1 >/proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip forward=1
2.2永久打开
vim /etc/ sysctl. conf
net. ipv4.ip_ forward = 1 #将此行写入配置文件sysctl -P #读取修改后的配置
3、SNAT的转换
3.1固定的公网IP地址
#配置SNAT策略,实现snat功能,将所有192.168.100.0这个网段的ip的源ip改为10.0.0.1
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to 10.0.0.1可换成单独IP 出站外网网卡 外网IP
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10内网IP 出站外网网卡 外网IP或地址池
3.2非固定的公网IP地址(共享动态IP地址)
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADEiptables -t nat -A POSTROUTING -s 12.0.0.0/24 -d 192.168.100.0/24 -j MASQUERADE
一个IP地址做SNAT转换,一般可以让内网 100到200 台主机实现上网
DNAT
1、DNAT的原理介绍
1.1应用环境
在Internet中发布位于局域网内的服务器
1.2DNAT原理
- 目标地址转换
- 修改数据包的目标地址
1.3DNAT转换前提条件
- 局域网的服务器能够访问Internet
- 网关的外网地址有正确的DNS解析记录
Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysct1 -p
2、DNAT的转换
2.1发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.80.11入站|外网网卡 | 外网ip 内网服务器ipiptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.80.11-192.168.80.20
SNAT和DNAT实验
PC2:
先添加一块网卡,并将该网卡设置为仅主机模式
systemctl stop firewalld //关闭防火墙
setenforce 0 //关闭shellinux
ip a //查看网卡信息
cd /etc/sysconfig/network-scripts/
//进入到网卡配置信息目录
cp ifcfg-ens33 ifcfg-ens36
//拷贝ens33的配置文件,并命名为ens36
vim ifcfg-ens36 //进入到ens36的配置文件中进行修改
systemctl restart network //重新启动网卡
ping 12.0.0.1 //查看一下网卡是否设置成功永久打开路由转发功能:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件
sysctl -p #读取修改后的配置
iptables -F //清除链内规则
iptables -t nat -A POSTROUTING -s 192.168.91.0/24 -o ens36 -j SNAT --to 12.0.0.1
//将源地址为192.168.190.0段的私网地址全部 转化为网关地址
PC3
vim /etc/sysconfig/network-scripts/ifcfg-ens33
//进入网卡配置信息文件
PC1
ifconfig ens33 12.0.0.10/24 //设置网卡的ip地址
ping 12.0.0.1 //ping一下pc2查看是否连通
yum -y install httpd //yum安装http
systemctl start httpd //启动http
systemctl status httpd //查看http的状态
cd /var/www/html //切换到/var/www/html目录
vim index.html //创建index.html文件,并向其中添加内容“从山峦到海洋”
systemctl stop firewalld //关闭防火墙
setenforce 0 //关闭shellinux
PC2
curl 192.168.190.101 //请求web服务器,连接pc3
iptables -t nat -A PREROUTING -i ens36 -d 12.0.0/24 -p tcp --dport 80 -j DNAT --to 192.168.190.101///将源地址为12.0.0.0段的公网地址全部转化为网关地址
pc1
curl 12.0.0.1 //连接PC2的ip地址12.0.0.1
可以看到PC2创建的内容
