SNAT-内网客户访问外网服务

原理

在这里插入图片描述
由内网到外网：从内网发到外网的数据包的源IP由私网IP转换成公网IP

由外网到内网：从外网发到内网的数据包的目的IP由公网IP转换成私网IP

SNAT步骤：
- 内网的网关对应的是网关服务器上的相对应的内网网卡IP
- 打开网关服务器路由转发功能 /etc/sysctl.conf 内核配置文件
- 转换内网源IP为网关服务器上的外网网卡IP，设置SNAT

##永久修改vim/etc/sysctl.conf    ##修改内核配置文件##添加配置
net.ipv4.ip_forward=1##修改后,读取配置
sysctl -p

##SNAT转换指定固定公网IP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to 218.29.30.31##SNAT转换为公网地址池
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j SNAT --to 218.29.30.1-218.29.30.35##SNAT转换为共享动态IP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ens33 -j MASQUERADE

操作实验

##内网客户端systemctl stop firewalld             ##关闭防火墙
setenforce 0###修改网卡为内网IP和内网网关IP
vim /etc/sysconfig/network-script/ifcfg-ens32IPADDR=192.168.242.66     ##内网IP
NETMASK=255.255.255.0
GATEWAY=192.168.242.30    ##网关服务器上的内网网卡IPsystemctl restart network  ##重启网卡

在这里插入图片描述

##外网服务端systemctl stop firewalld             ##关闭防火墙
setenforce 0###修改网卡为外网IP和网关IP
vim /etc/sysconfig/network-script/ifcfg-ens32IPADDR=12.0.0.200    ##外网IP
NETMASK=255.255.255.0
GATEWAY=12.0.0.30    ##网关服务器上的外网网卡IPsystemctl restart network  ##重启网卡###安装网络服务
yum -y install httpdcd /var/www/html                    ##创建首页显示
echo 'hello world' > test.html
systemctl start httpd                ##开启网络服务

在这里插入图片描述

##网关服务器###添加网卡,并修改对应网卡的IPvim /etc/sysconfig/network-script/ifcfg-ens32    ##修改内网网卡IPADDR=192.168.242.30    ##内网IP
NETMASK=255.255.255.0vim /etc/sysconfig/network-script/ifcfg-ens33    ##修改外网网卡IPADDR=12.0.0.30         ##外网IP
NETMASK=255.255.255.0systemctl restart network   ##重启网卡##防火墙配置iptables -F && iptables -t nat -F    ##清空防火墙配置
systemctl stop firewalld             ##关闭防火墙
setenforce 0##打开服务器的路由转发功能
vim /etc/sysctl.conf     ##修改内核配置文件
net.ipv4.ip_forward=1
sysctl -p                ##加载配置##添加数据转发
iptables -t filter -A FORWARD -s 192.168.242.0/24 -j ACCEPT##SNAT转换指定固定公网IP
iptables -t nat -A POSTROUTING -s 192.168.242.0/24 -o ens33 -j SNAT --to 12.0.0.30

在这里插入图片描述

DNAT-外网客户访问内网服务

原理

在这里插入图片描述
由外网到内网：从外网发来的数据包的目标IP由公网IP转换成私网IP，网关服务器在根据私网IP转发到内网服务器

由内网到外网：内网服务器响应数据包的源IP从内网IP转换为外网IP

操作实验

##内网服务器systemctl stop firewalld
setenforce 0###修改网卡为内网IP和内网网关IP
vim /etc/sysconfig/network-script/ifcfg-ens32IPADDR=192.168.242.66     ##内网IP
NETMASK=255.255.255.0
GATEWAY=192.168.242.30    ##网关服务器上的内网网卡IPsystemctl restart network  ##重启网卡###安装网络服务
yum -y install httpdcd /var/www/html                    ##创建首页显示
echo 'hello world' > test.html
systemctl start httpd                ##开启网络服务

##外网客户端systemctl stop firewalld
setenforce 0###修改网卡为外网IP和网关IP
vim /etc/sysconfig/network-script/ifcfg-ens32IPADDR=12.0.0.200    ##外网IP
NETMASK=255.255.255.0
GATEWAY=12.0.0.30    ##网关服务器上的外网网卡IPsystemctl restart network  ##重启网卡

##网关服务器##添加网卡vim /etc/sysconfig/network-script/ifcfg-ens32    ##修改内网网卡IPADDR=192.168.242.30    ##内网IP
NETMASK=255.255.255.0cp ifg-en32 ifcfg-ens33
vim /etc/sysconfig/network-script/ifcfg-ens33    ##修改外网网卡IPADDR=12.0.0.30         ##外网IP
NETMASK=255.255.255.0systemctl restart network   ##重启网卡##防火墙配置iptables -F && iptables -t nat -F    ##清空防火墙配置
systemctl stop firewalld             ##关闭防火墙
setenforce 0##打开服务器的路由转发功能
vim /etc/sysctl.conf     ##修改内核配置文件
net.ipv4.ip_forword=1
sysctl -p                ##加载配置iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.30 -p tcp --dport 8080 -j DNAT --to 192.168.242.66:80iptables -t nat -A POSTROUTING -s 192.168.242.0/24 -o ens33 -j SNAT --to 12.0.0.30iptables -t filter -A FORWORD -s 192.168.242.0/24 -j ACCEPT
iptables -t filter -A FORWORD -s 12.0.0.0/24 -j ACCEPT

tcpdump

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i eth1 : 只抓经过接口eth1的包
(3)-t : 不显示时间戳
(4)-s 0 : 抓取数据包时默认抓取长度为68字节。加上-S 0 后可以抓到完整的数据包
(5)-c 100 : 只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析