SNAT与DNAT原理及应用

SNAT与DNAT原理及应用

当内部地址要访问公网上的服务时（如httpd访问），内部地址会主动发起连接，由路由器或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换功能称为SNAT，主要用于内部共享IP访问外部网络。

当内部地址需要提供对外服务时（如对外发布httpd网站），外部地址发起主动连接，由路由器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部将公网IP转换为私网IP，此转换功能称为DNAT，主要用于内部服务对外发布。

1.SNAT原理与应用

1.1 SNAT 应用环境:

局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)

1.2 SNAT原理:

源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映谢

SNAT转换前提条件:

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址 2.Linux网关开启IP路由转发 linxu系统本身是没有转发功能 只有路由发送数据

Linux网关开启IP路由转发

linxu想系统本身是没有转发功能 只有路由发送数据

临时打开:

echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -W net.ipv4.ip_forward=1

永久打开:

vim /etc/sysctl.conf net.ipv4.ip_forward = 1 #将此行写入配置文件

sysctl -p #读取修改后的配置

修改iptables网卡

SNAT转换1:固定的公网IP地址:

[root@node2 ~]#iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -o ens33 -j SNAT --to 192.168.1.1

将源IP地址为12.0.0.0/24的数据包发送到ens33网络接口，并通过源网络地址转换（SNAT）将源IP地址改为192.168.1.1。

[root@localhost ~]#iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -o ens37 -j SNAT --to 192.168.1.1~192.168.1.3

将源IP地址为12.0.0.0/24的数据包发送到ens37网络接口，并通过源网络地址转换（SNAT）将源IP地址改为192.168.91.101到192.168.91.103之间的范围内的IP地址。这样设置可以实现IP地址范围的源IP地址转换。

SNAT转换2:非固定的公网IP地址:

iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -d 192.168.100.0/24 -j MASQUERADE

将源IP地址的数据包进行网络地址伪装（MASQUERADE）

它会将来自12.0.0.0/24网络的数据包的源IP地址替换为出口网关的IP地址，从而隐藏了源IP地址并使数据包能够正确地返回到源网络

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens33 -j MASQUERADE

，将源IP地址为192.168.100.0/24的数据包发送到ens33网络接口，并执行网络地址伪装（MASQUERADE）操作。网络地址伪装会将源IP地址改为执行该操作的网关（防火墙）的IP地址，从而隐藏了真正的源IP地址。

SNAT实操（如何配置SNAT）

1，7-1，添加网卡，仅主机

开启路由转发功能

[root@localhost network-scripts]# vim /etc/sysctl.conf  #进入配置文件 添加 net.ipv4.ip_forward = 1
[root@localhost network-scripts]# sysctl -p   #读取修改后的配置
net.ipv4.ip_forward = 1
​

1. 7.2

1. 7-3

   设为仅主机模式

4.7-1

5.检验是否成功 7-2

2.DNAT原理及应用

DNAT原理与应用:

DNAT应用环境:

在Internet中发布位于局域网内的服务器

DNAT原理:

目的地址转换，根据指定条件修改数据包的目的IP地址，保证了内网服务器的安全，通常被叫做目的映谢。

DNAT转换前提条件:

1.局域网的服务器能够访问Internet 2.网关的外网地址有正确的DNS解析记录 3. Linux网关开启IP路由转发

内网有一个 网页服务器 想要给外网用户访问

外网用户直接访问 192.168.91.100 是访问不了 公网没有 192段地址

需要借助 DNAT 技术 将 192.168.91.100 ：80 映射成 12.0.0.1：80

12.0.0.1:80 等于 访问 192.168.91.100:80

DNAT实操（如何配置DNAT）

1.7-2 安装httpd服务

最好提前安装好，因为之前做了SNAT是连不到外网的

若要安装可以创建本地yum仓库安装

2.进入httpd服务默认主页配置文件

cd /var/www/html
vim index.html

3.7-1

 iptables -t nat -A PREROUTING -i ens36 -s 12.0.0.0/24 -p tcp --dport 80 -j DNAT --to 192.168.1.200:80
在nat表的PREROUTING链中添加一条规则。该规则的作用是对从ens36接口中来自IP地址范围为12.0.0.0/24、目的端口为80的TCP数据包进行目标地址转换（Destination NAT）。

4.7-3 测试是否成功