iptable之SNAT的实现
2017-10-24 19:11
197 查看
概念:
定义:SNAT:Source NAT(POSTROUTING链):源地址转换,请求由内网的主机发起,修改IP源,外网的目的地址不变。
作用:
在生产环境中,源地址转换能够让我们公司的内网或者个人的主机可以访问外网而且不让自己的私网IP地址暴露在公网中,达到既能上网有隐藏ip防止被攻击的作用。
准备环境:
准备三台centos7的虚拟机一台充当内网主机,ip地址为192.168.146.129
一台充当NAT Server,内网接口地址是192.168.146.120,
外网接口的地址是172.18.250.98.
一台充当外网,地址是172.18.250.195
实验拓扑图:
实验步奏:
1、 分别centos7上的3台主机上关闭firewad和清空iptables的nat[root@centos7 ~]# systemctl stop firewalld[root@centos7 ~]# iptables -F2、 在NDA Server 上打开内核转发
[root@centos7 ~]# echo 1 >/proc/sys/net/ipv4/ip_forward3、 在内网的机器上添加内网的网关,外网添加外网对应的网关
route add default gw 192.168.146.130 #内网 route add default gw 172.18.250.98 #外网4、 在NDA Server上做SNAT源地址转换规则
iptables -t nat -A POSTROUTING -s 192.168.146.0/24 -j SNAT --to-source172.18.250.985、 测试
在内网的机器上测试,ping 公网的IP结果是可以PING通外网。
用外网ping内网,是不通的,说明实验成功了。
[root@centos7 ~]# ping 192.168.146.129
connect: Network is unreachable
注意事项:
1、在NAT Server机器上一定要开启内核转发功能,就算做了策略,内网也ping不 通外网。2、 SNAT源地址转换NAT表对应的链是POSTROUTING,不是PREROUTING链。
3、 SNAT源地址转换NAT是把源地址转换成外网网关的172.18.250.98,所以规则上填入的是--to-source 172.18.250.98
相关文章推荐
- framework层和native层实现联网控制(iptable方式)
- 使用SNAT、DNAT策略实现网关应用
- 构建分离解析的域名服务器,以及实现SNAT和DNAT 转换
- Cloud Foundry中warden的网络设计实现——iptable规则配置
- 使用Iptable实现动态防火墙
- iptables实现网络防火墙(二)——SNAT与DNAT
- 基于BitMap 实现IpTable
- Cloud Foundry中warden的网络设计实现——iptable规则配置
- 使用iptables防火墙实现简单的IP过滤、SNAT及DNAT
- Linux网络安全技术与实现(第2版)第二章笔记(SNAT与DNAT的关系)
- 用IPTABLE实现通过80端口访问8080端口
- iptables实现网络防火墙功能,SNAT以及DNAT功能
- iptables实现网络防火墙(二)——SNAT与DNAT
- iptables实现网络防火墙(二)——SNAT与DNAT
- 使用iptable实现动态防火墙
- 利用iptables实现SNAT及DNAT
- 使用SNAT、DNAT策略实现网关应用
- iptables实现七层访问过滤,SNAT与DNAT,DNS-View的实现
- iptable中snat和masquerade的区别