防火墙经过地址转换抓包详解

R表示收到，X表示发出，R@eth1是从eth1口收到数据包。X@eth2是从2口发出数据包
16.1.1.1>18.1.1.2 表示IP 16.1.1.1发给IP 18.1.1.2
Seq后面的数是序列号 request和reply的号一致就是一个数据包
Length后面的数是字节
没有做任何策略，直连抓包（ICMP的数据包）

抓包过程详解：
防火墙eth1口收到16.1.1.1发给18.1.1.2的request数据包
接着从eth2口这个request数据包转发出去
然后防火墙eth2口收到18.1.1.2发给16.1.1.1的reply数据包
防火墙再从eth1口转发这个reply给16.1.1.1

抓取80端口的包
首先建立三次握手syn syn+ack ack（三次握手这三个数据包一定要有。没有那这个连接就有问题，排查问题主要看三次握手）

如果数据包经过源地址转换，抓包命令需要输入目的地址。简单来讲就是抓目的地址的数据包

抓包过程详解：
从eth1收到16.1.1.1发给18.1.1.2的request包
再从eth2将这个request包以18.1.1.1的地址发给18.1.1.2（源地址16.1.1.1.转换为了18.1.1.1）
从eth2收到18.1.1.2回复给18.1.1.1的reply数据包
再从eth1将reply发给16.1.1.1

目的地址转换----抓真实的源地址和端口80的包（18.1.1.2是真实的源）
1.如果内网有多台服务器但是只有一个外网接口的时候都要映射80端口就要在服务里面自定义端口（自定义的端口在1024以上都可以名称和端口号可以一致）目的地址转换里的“目的端口转换为”要是真实的端口80
2.在目的地址转换里服务有自定义的端口情况下要单抓源ip就是完整的包，
图例：只抓的源ip 18.1.1.2 （18.1.1.2访问防火墙接口18.1.1.1的80服务，防火墙转到16.1.1.1）

抓包过程详解：
从eth2收到18.1.1.2发给18.1.1.1:80的数据包（syn）
再从eth1将这个数据包（syn）发出去，目的地址转换为16.1.1.1:80
从eth1收到16.1.1.1的回包（syn +ack）,
再从eth2将这个数据包（syn+ack）发出去
然后从eth2收到18.1.1.2发给18.1.1.1:80的数据包（ack）
再从eth1将这个ack数据包发给16.1.1.1:80

双向地址转换，需要开启两个窗口同时进行抓包
抓包要抓真实的源地址和最终目的地址（案例所抓为真实源地址18.1.1.2和80端口的数据包）（需求18.1.1.2访问防火墙18.1.1.1的80端口，源地址转换为16.1.2.3，目的地址转换为16.1.2.4，目的端口不变）
一<初始源地址18.1.1.2

以下为抓取最终目的地址和80端口数据包
（最终目的地址16.1.2.4）

抓包过程详解：
先看第一个图，从eth2接口收到18.1.1.2访问18.1.1.1:80的数据包(syn)
再看第二个图，从eth3接口将这个数据包进行地址转换发出去，源变成16.1.2.3，目的变成16.1.2.4 (syn)
再看第二个图，从eth3接口收到16.1.2.4的回给16.1.2.3的数据包（syn+ack）
再看第一个图，从eth2接口以18.1.1.1回给18.1.1.2(syn+ack)
再看第一个图，从eth2接口收到18.1.1.2发给18.1.1.1的ack包
再看第二个图，从eth3接口将这个数据包进行地址转换发出去，源变成16.1.2.3，目的变成16.1.2.4 (ack)

先从物理接口eth1收到数据包，再从ipsec口发出数据包。接着从ipsec口收到回包，然后再从物理口eth1将回包发出去，这是一个完整的ping包经过ipsec的过程。
Ipsec抓包（点到点单线路2个保护子网）