网站建设后期需要做什么,找山东制作app公司,校园网的典型网络拓扑结构,北京菜谱设计制作公司目录 NAT
一、SNAT策略及作用
1、概述
SNAT应用环境
SNAT原理
SNAT转换前提条件
1、临时打开
2、永久打开
3、SNAT转换1#xff1a;固定的公网IP地址
4、SNAT转换2#xff1a;非固定的公网IP地址#xff08;共享动态IP地址#xff09;
二、SNAT实验
配置web服务…目录 NAT
一、SNAT策略及作用
1、概述
SNAT应用环境
SNAT原理
SNAT转换前提条件
1、临时打开
2、永久打开
3、SNAT转换1固定的公网IP地址
4、SNAT转换2非固定的公网IP地址共享动态IP地址
二、SNAT实验
配置web服务器192.168.247.99/24 配置网关服务器192.168.247.100/12.0.0.1 配置外网服务器
配置网关服务器的iptables规则
二、DNAT策略与应用
DNAT应用环境
DNAT原理
DNAT转换前提条件
DNAT的转换
DNAT转换2
在内网上配置
在网关服务器添加iptables规则
测试外网是否能访问内网
tcpdump——linux抓包 NAT
NATnetwork address transtation,支持PREROUTING,INPUT,OUTPUT,POSTROUTING四个链
请求报文修改源/目标IP
响应报文修改源/目标IP根据跟踪机制自动实现
NAT的实现分为下面类型
SNATsource NAT,支持POSTROUTINGINPUT让本地网络中的主机通过某一特定地址访问外部网络实现地址伪装请求报文修改源IPDNATdestination NAT 支持PREROUTINGOUTING把本地网络中的主机上的某服务开放给外部网络访问发布服务和端口映射但隐藏真实IP请求报文修改目标IPPNATport nat端口和IP都进行修改序号源目标1192.168.247.101:972012.0.0.1:80212.0.0.1:8012.0.0.100:80312.0.0.100192.168.100.101412.0.0.10012.0.0.15192.168.100.100
一、SNAT策略及作用
1、概述
SNAT应用环境 局域网主机共享单个公网IP地址接入Internet私有IP不能在Internet中正常路由
SNAT原理
源地址转换
修改数据包的源地址
SNAT转换前提条件
1、局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2、Linux网关开启IP路由转发
2、开启SNAT的命令
linux系统本身是没有转发功能只有路由发送数据
SNAT选项
to-sourcerandom
MASQUERADE基于nat表的target适用于动态的公网IP如拨号网络
MASQUERADE选项
to-ports portrandomiptables -t nat -A POSTROUTING -s 12.0.0.0/24 ! -d 192.168.247.0/24 -j MASQUERADE 1、临时打开 echo 1/proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip forward1 2、永久打开 vim /etc/sysctl.conf net.ipv4.ip_forward1 #将次行写入配置文件 1 sysctl -p #读取修改后的配置 3、SNAT转换1固定的公网IP地址 可换成单独ip 出站外网网卡 外网ip iptables -t nat -A POSTROUTING -s 192.168.247.0/24 -o ens33 -j SNAT --to 10.0.01 #配置SNAT策略实现SNAT功能将所有192.168.247.0这个网段的ip改为10.0.0.1 或 iptables -t nat -A POSTROUTING -s 192.168.247.0/24 -o ens33 -j SNAT --to-source 10.0.0.1-10.0.0.10 4、SNAT转换2非固定的公网IP地址共享动态IP地址 iptables -t nat -A POSTROUTING -s 192.168.247.0/24 -o ens33 -j MASQUERADE 二、SNAT实验 1、环境准备
web服务器ip192.168.247.99nat1关闭防火墙和selinux、开启http服务
网关服务器内网ip地址192.168.247.100 外网ip地址12.0.0.1 关闭防火墙和selinux、开启http服务
外网ip地址12.0.0.10nat2
VMware的虚拟网络编辑器中默认nat模式网段192.168.247.0 nat2模式网段12.0.0.0 配置web服务器192.168.247.99/24
1、选择网卡模式为nat模式 2、修改ens33网卡 3、重启网络服务 systemctl restart network 4、 ping网关测试 5、 关闭防火墙、selinux 安装http服务 6、开启http服务 配置网关服务器192.168.247.100/12.0.0.1
1、添加一块虚拟网卡 2、关闭防火墙selinux 3、配置ens36网卡 配置ens33网卡 4、重启网络查看ip 4、关闭防火墙和selinux systemctl stop firewalld setenforce 0 5、安装http服务 yum install httpd -y 6、开启http服务 配置外网服务器
1、修改网卡模式 2、配置网卡 3、重启网卡服务查看ip 4、网络联通测试 开启SNAT 配置网关服务器的iptables规则 iptables -nL #查看规则 iptables -nL -t nat #查看规则 iptables -F #清除iptables的规则 iptables -F -t nat #清除iptables的规则 二、DNAT策略与应用
DNAT应用环境
在internet中发布位于局域网内的服务器
DNAT原理
修改数据包的目的地址
DNAT转换前提条件
局域网的服务器能够访问internet网关的外网地址有正确的DNS解析记录linux网关开启ip路由转发vim /etc/sysctl.conf net.ipv4.ip_forward 1 sysct1 -p DNAT的转换
发布内网的web服务 #把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.247.102 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80 -j DNAT --to 192.168.247.102 或 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 80-j DNAT --to-destination 192.168.247.102 入站|外网网卡 | 外网ip 内网服务器ip iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80-j DNAT --to 192.168.247.11-192.168.247.20 DNAT转换2
发布时修改目标端口 #发布局域网内部的OpenSSH服务器 外网主机需使用250端口进行连接 iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp--dport 250-jDNAT --to 192.168.100.102:22 在内网上配置 #在内网上安装httpd并开启服务 [rootlocalhost yum.repos.d]# yum install -y httpd [rootlocalhost yum.repos.d]# systemctl start httpd #关闭防火墙和selinux [rootlocalhost yum.repos.d]# systemctl stop firewalld.service [rootlocalhost yum.repos.d]# setenforce 0 在网关服务器添加iptables规则 #先清空规则 [rootlocalhost yum.repos.d]#iptables -F -t nat #添加规则 [rootlocalhost yum.repos.d]#iptables -t nat -A PREROUTING -i ens38 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.100.102 #查看规则 [rootlocalhost yum.repos.d]#iptables -nL -t nat Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- 0.0.0.0/0 12.0.0.1 tcp dpt:80 to:192.168.100.102 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination 测试外网是否能访问内网 #在外网服务器上 [rootlocalhost ~]# curl 12.0.0.1 #在内网服务器上 [rootlocalhost yum.repos.d]# tail /etc/httpd/logs/access_log 127.0.0.1 - - [02/Nov/2021:18:05:31 0800] GET / HTTP/1.1 403 4897 - curl/7.29.0 12.0.0.100 - - [02/Nov/2021:18:19:45 0800] GET / HTTP/1.1 403 4897 - curl/7.29.0 tcpdump——linux抓包 tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap tcpip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置用来过滤数据包的类型-i ens33只抓经过接口ens33的包-t不显示时间戳-s 0抓取数据包时默认抓取长度为68字节。加上-s 0后可以抓到完整的数据包-c 100只抓取100个数据包dst port 22不抓取目标端口是22的数据包src net 192.168.1.0/24数据包的源网络地址为192.168.1.0/24。net网段host主机-w ./target.cap保存成cap文件方便用wireshark分析
