防火墙DNAT与SNAT详谈-创新互联

SNAT: 源地址转换,作用是将ip数据包的一个地址变成另外一个地址;

创新互联坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站设计、做网站、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的沁源网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!

A: 192.168.100.100          eth0       用户

B: 192.168.100.1           eth0

 192.168.200.200          eth2       防火墙

C:  192.168.200.100        eth0       web容器

A------------------->C

A--------->B

      B------->C

A用户,访问C上的网站,SNAT转化过程,A 首先访问的是B,也就是防火情的192.168.100.1;然后,再通过防火墙的192.168.200.200访问C网站;

配置过程如下:

1)A:配置eth0网关:192.168.100.1

2)B:  配置eth2网关: 192.168.200.1

注:suse下配置网卡的网关:route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先,B要开通路由转发:

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次,配置防火墙,将A访问C转发为B访问C,

即:    192.168.100.100----------------------------------------------->192.168.200.100

过程:192.168.100.100------------->192.168.200.200

                                                            192.168.200.200----------->192.168.200.100

iptables的路由规则:

-A POSTROUTING -s 192.168.100.100 -o eht0 -j SNAT --to-source 192.168.200.200

到这里,DNAT是设置完了;接下来是测试了

重启防火墙,或者重新加载防火墙的配置文件: /etc/init.d/iptables reload

然后,抓包,看访问过程

tcpdump -i any port 80 -s 0 -w 保存的包名

DNAT:将一组本地内部地址映射到一组全球内部地址;

A: 192.168.100.100           eth0       用户

B: 192.168.100.1            eth0

 192.168.200.200          eth2       防火墙

C: 192.168.200.100         eth0       web容器

A------------------->B

A--------->B

      B------->C

A用户,访问B,SNAT转化过程,A 访问的B,也就是防火情的192.168.100.1;实际上访问过程是,A 访问的B,也就是防火情的192.168.100.1,后,防火墙B再通过192.168.200.200访问192.168.200.100 C的web容器;

配置过程如下:

1)C:配置eth0网关:192.168.200.1

2)B:  配置

eth0网关: 192.168.100.1

eth2网关: 192.168.200.1

注:suse下配置网卡的网关:route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先,B要开通路由转发:

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次,配置防火墙,将A访问C转发为B访问C,

iptables -t nat -A     PREROUTING -d 192.168.100.1 -p tcp -m tcp --deport 80 -i eth0 -j DNAT --todestionation 192.168.200.100

重启防火墙,或者重新加载防火墙的配置文件: /etc/init.d/iptables reload

然后,抓包,看访问过程

tcpdump -i any port 80 -s 0 -w 保存的包名

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章标题:防火墙DNAT与SNAT详谈-创新互联
网站链接:http://azwzsj.com/article/ddhdhe.html