Iptable简介2——番外nat的介绍

本文涉及的产品
公网NAT网关,每月750个小时 15CU
云防火墙,500元 1000GB
简介: 2、NatNAT(Network Address Translation),网络地址翻译。2、1 SNAT使用在这样一个场景中,通常情况下我们无论是在公司、学校内部计算机的ip地址都是一个内网地址,为了和外网的计算机通信我们必须链接到网关或者路由器,而网关和路由器必须对我们发出去的数据包的原地址翻译为一个网关或路由器的公网地址,然后再将此包送到公网中,这样的地址翻译叫SNAT。

2、Nat

NAT(Network Address Translation),网络地址翻译。

2、1 SNAT

使用在这样一个场景中,通常情况下我们无论是在公司、学校内部计算机的ip地址都是一个内网地址,为了和外网的计算机通信我们必须链接到网关或者路由器,而网关和路由器必须对我们发出去的数据包的原地址翻译为一个网关或路由器的公网地址,然后再将此包送到公网中,这样的地址翻译叫SNAT。

SNAT如果时防火墙转发的包在前文中发生在图1-2的prerouting链里。


img_d8266ba581d76b72e6939766e9506de6.png

2、2 DNAT

当我们的che业务服务器搭建在公司内部网络上(其公司网络ip地址为10.74.30.15),还有一个ftp服务器(ip地址为10.74.30.16),两台服务器都接上防火墙,而我们在公网上申请一个公网IP地址(为11.11.2.3)。当外部用户访问我们Che

业务时,他试图访问11.11.2.3:8080 ,当另外一个外网用户试图访问我们的ftp服务器时他访问11.11.2.3:21. 防火墙必须将发送往11.11.2.3:8080的数据包的dst ip转换为che服务器的内网ip;将发网11.11.2.3:21的数据包dst ip转换为ftp服务器内网ip 10.74.30.16;并把这些数据包转发到内网上。如此防火墙就进行了dnat。

DNAT发生在防火墙的pretrouting链里。很少情况下也可以发生在output里


img_6bb01f83f30bec43c97cad7c6269f58c.png

2、3 hairpin模式

在上述DNAT场景中,假设同事陈xx知道我们搭建的che业务服务器公网IP地址,他想在公司电脑上(10.74.30.2)通过这个服务器公网ip地址访问che业务服务器。假设防火墙内网ip10.74.30.1会出现下面的场景


img_3bf44a62c3bb49726af4200c9241a848.png

step1

src:10.74.30.2 dst:11.11.2.3:8080 报文发送到防火墙(路由器)

step2:

防火墙根据我们配置的DNAT规则将保报文转换为:

src:10.74.30.2 dst:10.74.30.15:8080 并把报文再发到公司内网中。

step3:

che服务器收到了来自陈xx同学的报文,然后响应此报文,因为此时Che服务器发现陈xx同学的报文来自于内网的计算机,所以它直接会送如下响应报文给陈xx同学(不再通过防火墙)

src:10.74.30.15:8080 dst:10.74.30.2

step4:

响应报文来到陈xx的机器里。此时陈xx同学的电脑防火墙发现自己的没有给10.74.30.15发送过数据包,所以这个包被防火墙拦截掉。而陈xx同学发现自己此时无法通过公网ip访问che服务器。

为了解决这样的问题,防火墙设定了hairpin模式。此种模式下,首先DNat规则还是和前文一样;接着设定一个如下规则:凡是来自于内网的包,同时目的地址又是我们转换后的内网IP地址,需要做SNAT,将包源地址设置为防火墙的公网地址iptables -t nat -A Postrouting -p tcp -s 10.74.30.0/24 --dst 10.74.30.15 --dport 8080 -j

SNAT --to-source 10.74.30.1(当然也可以设置简单一点——省去-s 10.74.30.0/24)。

当此规则生效以后从step2开始变化如下

step2

防火墙将来自陈xx同学发往che公网ip的包转换为:

src:10.74.30.1 dst 10.74.30.15:8080发送到内网给che服务器

step3、

che服务器回复

src:10.74.30.15:8080 dst:10.74.30.1 报文发送到内网到达防火墙。

step4、

防火墙根据上述设置的规则,识别到此回复包是以前链接的一部分,将snat和dnat转换逆过程:

src:11.11.2.3 :8080 dst:10.74.30.2并发报文发送到内网,陈xx同学的计算机收到此报文后,防火墙认识是自己建立的链接的包,放行。最终陈同学能够在公司内部通过公网访问che服务器了。

2.4 防火墙访问

还是上述场景,假设陈xx同学不甘心,跑到防火墙所在的计算机上去访问che的公网ip地址。这种情况下,他将访问到防火墙自己的8080端口的服务。如果他需要在防火墙上通过公网地址访问che服务,那么他需要在防火墙的output链上做动作:

iptables -t nat -A OUTPUT -d 11.11.2.3 -dport 8080 -j NAT --to-destination 10.74.30.15

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
目录
相关文章
|
23天前
|
运维 负载均衡 安全
|
3月前
|
负载均衡 Linux 网络虚拟化
在Linux中,什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
在Linux中,什么是NAT,常见分为那几种,DNAT与SNAT有什么不同,应用事例有那些?
|
5月前
|
监控 网络协议 Ubuntu
Linux网络配置全攻略:解读/etc/network/interfaces文件的精髓
Linux网络配置全攻略:解读/etc/network/interfaces文件的精髓
1031 1
|
5月前
|
Linux 网络安全
iptables 技术简介
iptables 技术简介
|
6月前
|
安全 测试技术
NAT基础一览
NAT基础一览
|
Linux Shell
【Linux网络配置实战】服务器Network静态路由配置
【Linux网络配置实战】服务器Network静态路由配置
490 1
|
网络协议 安全 数据安全/隐私保护
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例。
1958 0
NAT基础:NAT技术原理,静态NAT、动态NAT、NAPT、Easy IP、NAT Server的原理,以及各NAT的配置方法和转换示例
|
网络安全 数据安全/隐私保护 网络架构
关于NAT的“生平简介”
NAT 是一个IETF 标准,允许一个机构以一个地址出现在Internet 上。NAT 技术使得一 个私有网络可以通过Internet 注册IP 连接到外部世界,位于Inside 网络和Outside 网络 中的NAT 路由器在发送数据包之前,负责把内部IP 地址翻译成外部合法IP 地址。
|
网络架构 网络协议 运维