网络地址转换实验

本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
简介:

1.概念

    网络地址转换用于控制网络封包的表面源或所需目标地址。

    基于主机的简单防火墙只具有 INPUT 链中的规则,以 ACCEPT 或 REJECT 封包,但是在专用(不可路由)网络的网关或路由器上,通常使用 PREROUTING 和 POSTROUTING 链修改封包。nat 表使用三条链: PREROUTING 、 OUTPUT 和 POSTROUTING 。当路由器修改通过其的网络通信的源或目标 IP 地址或端口时,进行网络地址转换。它用于映射使用单个 IP 地址的计算机网络,以使其可以共享单个公共地址并隐藏其内部网络( MASQUERADE 或 SNAT )。它还用于将发送到一个 IP 地址的通信重定向到另一个 IP 地址。此目标 NAT 用于端口转发(通过防火墙外部的端口至防火墙内部的服务)并用于透明地重定向至代理服务。

    MASQUERADE 目标使源 IP 地址更改为与开启防火墙的接口的 IP 相匹配。目标将响应发送回该接口的 IP地址。连接跟踪自动将返回通信转换为匹配的内部 IP 地址和端口(基于连接两端的 IP 地址和端口进行跟踪)。 SNAT 目标通过选项 --to-source 使源 IP 地址更改为指定的 IP 地址。

    # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    DNAT 目标通过— to-destination 选项使目标 IP 地址更改为与指定的 IP 地址相匹配。路由器将封包转发到该地址;这是在做出路由决策之前使用链的原因。连接跟踪自动将响应发送回具有原始 IP 地址的原始源而不是新源。

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.0.254

DNAT 示例:

# iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-dest 192.168.0.250

# iptables -t nat -A OUTPUT -p tcp --dport 80 -j DNAT --to-dest 192.168.0.200:3128 (重定向)

SNAT 示例:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE (伪装)

# iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.0.253


2.filter表  只允许sshd,dns,http,https,ftp服务

   vim /etc/vsftpd/vsftpd.conf 

      pasv_max_port=5000

      pasv_min_port=5000

 

    iptables -F 

    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 21 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 20 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 953 -j ACCEPT

    iptables -A INPUT -m state --state NEW -p tcp --dport 5000 -j ACCEPT

    iptables -A INPUT -m state --state NEW -s 172.25.6.254 -p tcp --dport 1024:  -j ACCEPT


3.NAT表  内外网访问

    3.1实验环境:

        真机 172.25.254.6        (外网)

        虚拟机一    172.25.254.106/172.25.6.1

        虚拟机二    172.25.6.10      (内网)


    3.2内网访问外网

       3.2.1虚拟机一配置

[root@server106 ~]# vim /etc/sysctl.conf 

      net.ipv4.ip_forward = 1    #开通内核路由功能

[root@server106 ~]# sysctl -p

[root@server106 ~]# iptables -F

[root@server106 ~]#  iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106##添加内网到外网的策略

      3.2.2虚拟机二配置

[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth0 

       GATEWAY=172.25.6.1

[root@localhost ~]# /etc/init.d/network restart

      3.2.3测试:虚拟机二可ping通254网段 172.25.254.6

[root@localhost ~]# ping 172.25.254.6   

PING 172.25.254.6 (172.25.254.6) 56(84) bytes of data.

64 bytes from 172.25.254.6: icmp_seq=1 ttl=64 time=0.102 ms

64 bytes from 172.25.254.6: icmp_seq=2 ttl=64 time=0.127 ms

64 bytes from 172.25.254.6: icmp_seq=3 ttl=64 time=0.164 ms


    3.3外网访问内网

       3.3.1虚拟机一配置

[root@server106 ~]# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.25.254.106  ##添加外网内网的策略

       3.3.2虚拟机二    ### 添加测试页

[root@localhost ~]# vim /var/www/html/index.html 

    test page

[root@localhost ~]# /etc/init.d/httpd start

     3.3.3真机端测试


wKiom1ff1rLje2yZAAAgYvZV8TA594.png



本文转自willis_sun 51CTO博客,原文链接:http://blog.51cto.com/willis/1854215,如需转载请自行联系原作者

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
1月前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
1月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
1月前
|
网络协议 网络虚拟化 网络架构
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(上)
64 1
|
2月前
|
网络架构
静态路由 网络实验
本文介绍了如何通过配置静态路由实现不同网络设备间的通信,包括网络拓扑图、设备IP配置、查看路由表信息、配置静态路由和测试步骤。通过在路由器上设置静态路由,使得不同子网内的设备能够互相通信。
静态路由 网络实验
|
2月前
|
网络虚拟化
网络实验 VlAN 中 Trunk Access端口的说明及实验
本文介绍了VLAN技术及其在网络实验中的应用,包括Access端口和Trunk端口的工作原理,以及如何通过实验划分不同VLAN实现内部通信和跨交换机实现VLAN间通信的详细步骤和配置。
网络实验 VlAN 中 Trunk Access端口的说明及实验
|
1月前
|
网络协议 数据安全/隐私保护 网络虚拟化
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
【网络实验】/主机/路由器/交换机/网关/路由协议/RIP+OSPF/DHCP(下)
60 0
|
1月前
|
移动开发 网络协议 测试技术
Mininet多数据中心网络拓扑流量带宽实验
Mininet多数据中心网络拓扑流量带宽实验
57 0
|
1月前
|
Kubernetes 容器
基于Ubuntu-22.04安装K8s-v1.28.2实验(三)数据卷挂载NFS(网络文件系统)
基于Ubuntu-22.04安装K8s-v1.28.2实验(三)数据卷挂载NFS(网络文件系统)
136 0
|
2月前
|
网络协议 网络安全 网络架构
【收藏】使用网络地址转换 增强网络安全
【收藏】使用网络地址转换 增强网络安全

热门文章

最新文章