Linux系统安全——NAT(SNAT、DNAT)

目录

NAT

SNAT

SNAT实际操作

DNAT

DNAT实际操作


NAT

NAT: network address translation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链

请求报文:修改源/目标IP,

响应报文:修改源/目标IP,根据跟踪机制自动实现

NAT的实现分为下面几种类型:

SNAT:source NAT ,支持POSTROUTING, INPUT,让本地网络中的主机通过某一特定地址访问外部网络,实现地址伪装,请求报文:修改源IP

DNAT:destination NAT 支持PREROUTING , OUTPUT,把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射),但隐藏真实IP,请求报文:修改目标IP

PNAT: port nat,端口和IP都进行修改

SNAT

SNAT:基于nat表的target,适用于固定的公网IP

SNAT选项:

  • to-source ipaddr[-ipaddr]]

  • random

MASQUERADE:基于nat表的target,适用于动态的公网IP,如:拨号网络

MASQUERADE选项:

  • to-ports port[-port]

  • random

SNAT实际操作

环境:

centos7-1(内网服务器)  IP地址 192.168.3.100
centos7-2(网关服务器)   ens33IP地址(nat):192.168.3.101   ens36IP地址(仅主机):12.0.0.1
centos7-3(外网服务器)  ens33IP地址(仅主机):12.0.0.12

目的:内网服务器能够ping通外网服务器

步骤:

1)网关服务器添加网卡

Linux系统安全——NAT(SNAT、DNAT)_第1张图片
Linux系统安全——NAT(SNAT、DNAT)_第2张图片

2)设置外网服务器的网卡模式

Linux系统安全——NAT(SNAT、DNAT)_第3张图片

3)修改外网服务器的IP地址,并重启network服务

Linux系统安全——NAT(SNAT、DNAT)_第4张图片Linux系统安全——NAT(SNAT、DNAT)_第5张图片

 4)修改内网服务器的网关,并重启network服务

Linux系统安全——NAT(SNAT、DNAT)_第6张图片Linux系统安全——NAT(SNAT、DNAT)_第7张图片

5) 为网关服务器的外网网卡配置IP地址,并重启network服务

 Linux系统安全——NAT(SNAT、DNAT)_第8张图片Linux系统安全——NAT(SNAT、DNAT)_第9张图片

6) 使用内网服务器ping外网服务器地址,作为SNAT配之前的参照

Linux系统安全——NAT(SNAT、DNAT)_第10张图片

7)在网关服务器上配置SNAT

 Linux系统安全——NAT(SNAT、DNAT)_第11张图片

 8)网关服务器开启路由转发功能,比编辑/etc/sysctl.conf文件

 Linux系统安全——NAT(SNAT、DNAT)_第12张图片Linux系统安全——NAT(SNAT、DNAT)_第13张图片

 9)使用内网服务器ping外网服务器,测试连通性

Linux系统安全——NAT(SNAT、DNAT)_第14张图片

DNAT

DNAT原理与应用:
DNAT应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:目的地址转换,根据指定条件修改数据包的目的IP地址,保证了内网服务器的安全,通常被叫做目的映谢。

DNAT转换前提条件:
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录
3. Linux网关开启IP路由转发

DNAT实际操作

在上诉SNAT基础上做操作

步骤

保留SNAT实际操作中的  1),2),3),4),5),8)

6)在内网服务器上搭建httpd服务,并撰写index.html初始网页,然后启动httpd服务

Linux系统安全——NAT(SNAT、DNAT)_第15张图片

7)在网关服务器上设置DNAT规则

 Linux系统安全——NAT(SNAT、DNAT)_第16张图片

 9)使用外网服务器访问内网的httpd服务

Linux系统安全——NAT(SNAT、DNAT)_第17张图片

你可能感兴趣的:(linux,运维,服务器)