SNAT策略概述
SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址
SNAT策略的应用
■前提条件 ●局域网各主机正确设置IP地址子网掩码 ●局域网各主机正确设置默认网关地址 ●Linux网关支持IP路由转发 ■实现方法 ●编写SNAT转换规则 [root@localhost ~]# iptables -t nat -A POSTROUTING -S 192.168.1.0/24 -0 ens33 -j SNAT --to-source 218.29.30.31
SNAT原理与应用:
SNAT应用环境:局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)
SNAT原理:修改数据包的源地址。
SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_ forward
或
sysctl -w net. ipv4. ip_ forward=1
永久打开:
vim /etc/sysctl.conf
net. ipv4.ip_ forward = 1
#将此行写入配置文件
sysctl -p
#读取修改后的配置
SNAT转换1:固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10
SNAT转换2:非固定的公网IP地址(共享动态IP地址):
iptables -t nat -A POSTROUTING -s 192. 168.80.0/24 -o ens36 -j MASQUERADE
小知识扩展:
一个IP地址做SNAT转换,一般可以让内网100到200 台主机实现上网。
DNAT策略概述
DNAT策略的典型应用环境 在Internet中发布位于企业局域网内的服务器 DNAT策略的原理 目标地址转换,Destination Network Address Translation 修改数据包的目标地址
DNAT策略的应用
■前提条件 ●局域网的Web服务器能够访问Internet ●网关的外网IP地址有正确的DNS解析记录 ●Linux网关支持IP路由转发 ■实现方法 ●编写DNAT转换规则 [root@localhost ~]# iptables -t nat -A PREROUTING -i ens33 -d 218.29.30.31 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.6
防火墙规则的备份和还原
导出(备份)所有表的规则 iptables-save > /opt/ipt. txt 导入(还原)规则 iptables-restore < /opt/ipt. txt 将iptables规则文件保存在/etc/sysconfig/iptables 中,iptables服 务启动时会自动还原规则 iptables-save > /etc/ sysconfig/ iptables systemctl stop iptables #停止iptables服务会清空掉所有表的规则 systemctl start iptables #启动iptables服务会自动还原/etc/sysconfig/ iptables中的规则 tcpdumpItcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -W . /target. cap (1)tcp:ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型 (2)-i ens33 :只抓经过接口ens33的包 (3)-t:不显示时间戳 (4)-s0:抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包 (5)-c 100 :只抓取100个数据包 (6)dst port ! 22 :不抓取目标端口是22的数据包 (7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24 (8)-w ./target.cap :保存成cap文件,方便用ethereal (即wireshark)分析
