1、SNAT策略及应用
SNAT应用环境:局域网主机共享单个公网IP地址接入Internet(私有不能在Internet中被正常路由)
SNAT原理: 修改数据包的源地址。
SNAT转换前提条件:
局域网各主机已正确设置IP地址、子网掩码、默认网关地址;
Linux网关开启IP路由转发;
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
永久打开:
vim /etc/sysctl.conf #内核配置文件
net.ipv4.ip_forward = 1 #将此行写入配置文件
sysctl -p #加载修改后的配置
SNAT策略的工作原理
SNAT转换1:固定的公网IP地址;
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens33 -j SNAT --to 12.0.0.1 #-t指定nat表,-s指定源地址或源地址网段,-o指定出站网卡,-j指定规则类型,--to修改源地址为网关服务器的外网网卡地址或者外网地址池
iptables -t nat -A POSTROUTING -s 192.168.80.0/24(内网IP) -o ens33( 出站外网网卡)-j SNAT --to-source 12.0.0.1-12.0.0.10(外网IP或地址池)
2、DNAT策略
(1)DNAT策略的概述
(2)DNAT原理与应用
DNAT 应用环境:
在Internet中发布位于局域网内的服务器;
DNAT原理:
修改数据包的目的地址。
DNAT转换前提条件:
1.局域网的服务器能够访问Internet;
2.网关的外网地址有正确的DNS解析记录;
3.Linux网关开启IP路由转发;
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p #加载DNAT转换1:发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.10
入站 外网网卡 外网IP 内网服务器IP
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.10-192.168.80.20
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/2402_83805984/article/details/139108567
3、tcpdump抓包工具的运用
wireshark 抓包工具只在windows中使用。
tcpdump 可以在Linux系统中使用。
tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap(1)tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置,用来过滤数据报的类型。
(2)-i ens33 :只抓经过接口ens33的包。
(3)-t:不显示时间戳
(4)-s0 :抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。
(5)-c 100 :只抓取100个数据包。
(6)dst port ! 22 :不抓取目标端口是22的数据包。
(7)src net 192.168.1.0/24 :数据包的源网络地址为192.168.1.0/24。Net:网段,host:主机。
(8)-w ./target.cap ∶ 保存成cap文件,方便用ethereal (即wireshark)分析。
![[240615] X-CMD 发布 v0.3.11,增加对 elvish 的支持](https://img-blog.csdnimg.cn/direct/3ffac3948b7b4d55b789d40af19a6eb0.gif#pic_center)
