文章目录
- 一.SNAT
- 1.1 SNAT原理
- 1.2 SNAT的应用环境
- 1.3 SNAT工作原理
- 1.4 进行SNAT转换后
- 1.5 配置SNAT策略
- 1.6SNAT实验
- 二.DNAT
- 2.1 DNAT工作原理
- 2.2 配置DNAT策略
- 2.3 DNAT实验
一.SNAT
1.1 SNAT原理
- SNAT原理:修改数据包的源地址。
- SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)
- SNAT转换前提条件:
- 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- 2.Linux网关开启IP路由转发
1.2 SNAT的应用环境
局域网共享上网
将局域网中的IP地址映射到 dns 网关服务器上,将私网IP地址转换成公网IP地址,从而访问位于公网的服务器。
1.3 SNAT工作原理
未作SNAT转换时
源主机发送数据包给目的主机,目的主机可以收到数据包,但目的主机发送回包时,数据包无法发送给源主机。
1.4 进行SNAT转换后
工作原理:
1.将从内网发到外网的数据包的源IP由私网IP转换成公网IP
2.将从外网服务器响应返回到内网的数据包的目的IP由公网IP转换成私网IP
1.5 配置SNAT策略
SNAT转换前条件
- 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
- Linux网关开启IP路由转发
1.开启IP路由转发
临时打开
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward=1 #将其添加进配置文件sysctl -p #读取修改后的配置
2.SNAT转换
转换为固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j SNAT
--to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j SNAT
--to-source 12.0.0.1-12.0.0.10转换为非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens33 -j MASQUERADE
小知识扩展:
一个IP地址做SNAT转换,一般可以让内网 100到200 台主机实现上网。
| 常用指令 | 作用 |
|---|---|
| -t | 指定nat表 |
| -A | 指定哪个链里面修改 |
| -s | 指定对哪个源地址进行修改 |
| -o | 指定修改完后再哪个出站网卡 |
| -j | 指定类型 |
| –to | 转换成一个固定的外网ip地址 |
1.6SNAT实验
首先配置服务端:
服务器位于公网,IP地址为12.0.0.100/24。开启http服务
vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.100
NETMASK=255.255.255.0
GATEWAY=12.0.0.50systemctl restart networkyum -y install httpd
#进入http服务的网页目录
cd /var/www/html
#在其中写入一个文件
echo 'hello world!' > test.html
#开启服务
systemctl start httpd再配置网关服务器
进行SNAT转换,ens33作为私网IP地址,ens35作为公网IP地址。首先,在虚拟机中设置两张网卡。
vim /etc/sysconfig/network-scripts/ifcfg-ens35
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.50
NETMASK=255.255.255.0vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.40
NETMASK=255.255.255.0systemctl restart network
网关服务器设置iptables规则
#安装iptables服务
yum -y install iptables*
#删除iptables规则及nat表中规则
iptables -F && iptables -F -t nat
#查看iptables规则
iptables -nLvim /etc/sysctl.conf
net.ipv4.ip_forward=1 sysctl -p #允许192.168.88.0网段进入网关服务器转发
iptables -t filter -A FORWARD -s 192.168.88.0/24 -j ACCEPT
#指定出站网卡ens35,将192.168.88.0网段IP地址转换为12.0.0.50
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens35 -j SNAT
--to 12.0.0.50
客户端
vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.20
NETMASK=255.255.255.0
GATEWAY=192.168.88.40systemctl restart network
结果
服务端
cd /var/log/httpd
grep 'test.html' access_log
二.DNAT
2.1 DNAT工作原理
- 将外网发来的数据包的目的地址由公网IP或端口转换成私网IP或端口;网关服务器将私网IP转发给内网服务器
- 将内网服务器发来的应答响应数据包的源地址由私网IP或端口转换成公网IP或端口
2.2 配置DNAT策略
DNAT转换前提条件:
- 局域网的服务器能够访问Internet
- 网关的外网地址有正确的DNS解析记录
- Linux网关开启IP路由转发
DNAT转换
##发布内网的web服务
##把从ens35进来的要访问web服务的数据包目的地址转换为 192.168.88.40
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.50 -p tcp --dport 80
-j DNAT --to 192.168.88.40
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.50 -p tcp --dport 80
-j DNAT --to-destination 192.168.88.40##发布时修改目标端口
##发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250
-j DNAT --to 192.168.80.10:22注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回
2.3 DNAT实验
服务端
vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.30
NETMASK=255.255.255.0
GATEWAY=192.168.88.40systemctl restart networkyum -y install httpd
#进入http服务的网页目录
cd /var/www/html
#在其中写入一个文件
echo 'hello world!' > test.html
#开启服务
systemctl start httpd
客户端
vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.200
NETMASK=255.255.255.0
GATEWAY=12.0.0.50systemctl restart network
网关服务器
vim /etc/sysconfig/network-scripts/ifcfg-ens35
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=12.0.0.2
NETMASK=255.255.255.0vim /etc/sysconfig/network-scripts/ifcfg-ens33
NAME=ens33
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.88.2
NETMASK=255.255.255.0systemctl restart network
配置DNAT策略
#外网主机访问发送数据包允许通过
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.2 -p tcp --dport 8080
-j DNAT --to 192.168.88.30:80#服务器的回包发送给访问主机
iptables -t nat -A POSTROUTING -s 192.168.88.0/24 -o ens35 -j SNAT
--to 12.0.0.2
