防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原

防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原

一、SNAT策略概述

SNAT(Source Network Address Translation,源地址转换)是Linux防火墙的一种地址转换操作,也是iptables命令中的一种数据包控制类型,其作用是根据特定的条件修改数据包的源IP地址。

1、SNAT应用环境

局域网主机共享单个公网IP地址的Internet(私有IP不能在Internet中正常路由)

2、SNAT原理

修改数据包源地址

3、SNAT转换的前提条件

局域网各主机已正确设置IP地址、子网掩码、默认网关地址
Linux网关开启IP路由转发

二、SNAT策略的应用

1、临时打开

echo 1 > /proc/sys/net/ ipv4/ip_forward

sysctl -w net. ipv4.ip_forward=1

2、永久打开

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件

sysctl -p #读取修改后的配置

3、SNAT转换1:固定的公网IP地址

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to-source 12.0.0.1-12.0.0.10
内网IP 出站 外网网卡 外网IP或地址池

4、SNAT转换2:非固定的公网IP地址(共享动态IP地址)

iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j MASQUERADE

扩展:一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网

三、DNAT策略概述

1、DNAT应用环境

再Internet中发布位于局域网内的服务器

2、DNAT原理

修改数据包的目标地址

3、DNAT前提条件

局域网的Web服务器能够访问Internet
网关的外网IP地址有正确的DNS解析记录
Linux网关支持IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1

sysctl -p
防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原_第1张图片

四、DNAT策略的应用

1、编写DNAT转换规则

防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原_第2张图片

2、DNAT转换1:发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11
                             入站 外网网卡  外网IP											   内网服务器IP

iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20

3、DNAT转换2:发布时修改目标端口

#发布局域网内部的OpenSSH服务器,外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22

#在外网环境中使用SSH测试
ssh -p 250 [email protected]

yum -y install net-tools 		#若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33

注意:使用DNAT时,同时还有配合SNAT使用,才能实现响应数据包的正确返回。

4、扩展

主机型防火墙:主要使用 INPUT、OUTPUT 链,设置规则时一般要详细的指定到端口
网络型防火墙:主要使用 FORWARD 链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可

五、防火墙规则的备份和还原

1、导出(备份)所有表的规则

iptables-save > /opt/ipt.txt

2、导入(还原)规则

iptables-restore > /opt/ipt.txt

3、iptables自动还原

将iptables规则文件保存在/etc/sysconfig/iptables 中,iptables服务启动时会自动还原规则

iptables-save > /etc/ sysconfig/ iptables
systemctl stop iptables .      #停止iptables服务会清空掉所有表的规则
systemctl start iptables       #启动iptables服务会自动还原/etc/ sysconfig/ iptables中的规则

4、示例详解

image-20220729161719494

tcp ipicmparprarp和tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型
-i ens33 只抓经过接口ens33的包
-t 只抓经过接口ens33的包
-s 0 抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
-c100 只抓取100个数据包
dst port ! 22 不抓取目标端口是22的数据包
src net 192.168.1.0/24 数据包的源网络地址为192.168.1.0/24
-w ./target.cap 保存成cap文件, 方便用ethereal (即wireshark)分析

68.1.0/24 | 数据包的源网络地址为192.168.1.0/24 |
| -w ./target.cap | 保存成cap文件, 方便用ethereal (即wireshark)分析 |

你可能感兴趣的:(服务器,网络,linux)