iptables防火墙（二）——SNAT和DNAT

目录

一：SNAT策略及应用

1.1SNAT应用环境和SNAT策略的原理

1.1.1SNAT策略的典型应用环境

1.1.2SNAT策略的原理

1.1.3SNAT转换前提条件

1.2SNAT策略的工作原理

1.3SNAT策略的应用

二：DNAT策略及应用

2.1DNAT应用环境和DNAT策略的原理

2.1.1DNAT策略的典型应用环境

2.1.2DNAT策略的原理

2.2DNAT策略的工作原理

2.3DNAT策略的应用

三：防火墙规则的备份和还原

四：tcpdump—Linux抓包

五：总结

引言：本章学习SNAT的原理和DNAT的原理，SNAT是源映射，源地址改变，目标地址不变；DNAT是目的映射，源地址不变，目的地址改变；我们需要熟悉并掌握。

一：SNAT策略及应用

1.1SNAT应用环境和SNAT策略的原理

1.1.1SNAT策略的典型应用环境

局域网主机共享单个公网ip地址接入internet

1.1.2SNAT策略的原理

源地址转换，Source Network Address Translation

修改数据包的源地址

1.1.3SNAT转换前提条件

①局域网各主机已正确设置IP地址、子网掩码、默认网关地址

②Linux网关开启IP路由转发

Linux想系统本身是没有转发功能，只能路由发送数据

临时打开：

echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1

永久打开

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1     将此行写入配置文件
sysctl -p                   将取修改后的配置

1.2SNAT策略的工作原理

1.3SNAT策略的应用

前提条件

局域网各主机正确设置IP地址/子网掩码

局域网各主机正确设置默认网关地址

Linux网关支持IP路由转发

实现方法

编写SNAT转换规则

SNAT的实验：俩台虚拟机，一台window 10

（1）俩台虚拟机安装httpd服务以及iptables服务并启动

（2）192.168.137.20机器上进行的操作

①将原先网络连接改成相应网段的自定义模式

②新建一个网卡（ens37）使用VMnet3将网络连接改成10.0.0.0的网段  

③修改ens33和ens37的网卡信息

 ④重启网卡并查看是否修改成功

⑤永久开启ip路由转发

⑥SNAT转换：固定的公网IP地址

（3）192.168.137.15机器上的操作

①更改网络适配器

②修改网卡并重启

（4）windows10机器上的操作

①修改windows10的网络适配器

②修改windows网络设置

③查看是否能够ping通

（4）验证结果

二：DNAT策略及应用

2.1DNAT应用环境和DNAT策略的原理

2.1.1DNAT策略的典型应用环境

在internet中发布位于企业局域网内的服务器

2.1.2DNAT策略的原理

目标地址转换，Destination Network Address Translation

修改数据包的目标地址

2.2DNAT策略的工作原理

2.3DNAT策略的应用

之前的步骤都是一样的下面的实验在之前的SNAT上进行修改了 

（1）window10机器上进行操作

①修改windows的网络配置

（2）192.168.137.15机器上进行的操作

①修改网卡并重启

②设置DNAT转换

（3）在windows10机器上查看结果

三：防火墙规则的备份和还原

导出（备份）所有表的规则

iptables-save > /opt/iptables.bak

导入（还原）规则 

iptables-restore < /opt/iptables.bak     备份好的文件进行还原
将iptables规则文件保存在 /etc/sysconfig/iptables中，iptables服务启动时会自动还原规则
iptables-save > /etc/sysconfig/iptables
systemctl stop iptables     停止iptables服务会清空掉所有表的规则
systemctl start iptables    启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

四：tcpdump—Linux抓包

tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

（2）-i ens33 ∶只抓经过接口ens33的包

（3）-t ∶不显示时间戳

（4）-s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包

（5）-c 100 ∶只抓取100个数据包

（6）dst port ! 22 ∶不抓取目标端口是22的数据包

（7）src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析

五：总结

本章主要是SNAT和DNAT的原理与它们之间的区别，在工作时，公网是不能直接访问内网的所以我们需要用到SNAT和DNAT进行转换，SNAT是内网访问外网源地址改变，目标地址不变；DNAT是外网访问内网源地址不变，目标地址改变。在工作中我们需要区分不能混淆。