• 对于注定会优秀的人来说,他所需要的,只是时间----博主
  • 手懒得,必受贫穷,手勤的,必得富足----《圣经》
  • 帮助别人,成就自己。愿君在本站能真正有所收获!
  • 如果你在本站中发现任何问题,欢迎留言指正!
  • 宝剑锋从磨砺出,梅花香自苦寒来!
  • 本站开启了防爆破关小黑屋机制,如果您是正常登录但被关进小黑屋,请联系站长解除!

防火墙基础知识之SNAT详解

术业专攻 eryajf 9个月前 (06-14) 1323℃ 已收录 0个评论
本文预计阅读时间 4 分钟

在防火墙配置策略当中有SNAT以及DNAT之分,两者各有区别,今天先来说明一下SNAT。

多应用在公司只有一个外网IP,那么整个公司的内网,该怎么上网呢?

要想都能够访问外网,就可以通过防火墙规则将它们出去时的源地址修改成唯一的公网IP,然后与外网对接,数据返回之后,它再交给内网(局域网)PC机。

现在可以通过简单的实验来做个验证。

条件

1, 内网各主机将设置正确的IP地址/子网掩码,并设置网关服务器的内网IP为默认网关地址。(可由DHCP服务器分发)

route add default gw 192.168.66.20

2, 网关服务器支持IP路由转发,并编写SNAT转换规则。

vim /etc/sysctl.conf
其中的net.ipv4.ip_forward = 1	#开启转发
sysctl -p  #加载一下
#iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -o eth1 -j SNAT --to-source 200.200.200.10	

解释这条规则如下:

#在防火墙的nat表当中的POSTROUTING链上添加(-A)一条规则,规则是从(-s)66网段过来的请求,出去(-o OPUTPUT)的时候都走eth1(外网网卡),做的动作(-j)是转换它的源地址(SNAT)为200.200.200.10

查看一下这条规则

3, 外网服务器,安装apache,写一个测试网页!

yum -y install httpd
echo “11111” >  /var/www/html/index.html
service httpd start

测试

直接在内网主机输入curl 200.200.200.20,如果访问到,则说明成功。

插曲

上边是针对企业中常应用的,但在家庭当中,很少有固定地址,一般都是动态地址,也就是说,出去的跳板是变动的,这样刚才所设置的规则就不行了,不过现在可以通过一个叫做MASQUERADE—-地址伪装来解决。

按刚才的环境不变,清空刚才的的防火墙规则。重新添加。

iptables	-F -t nat
iptables -t nat -A POSTROUTING -s 192.168.66.0/24 -o eth1 -j MASQUERADE

ok,现在,可以模拟改变外网IP

ifconfig eth1 200.200.200.200 netmask 255.255.255.0

测试

直接在内网主机输入curl 200.200.200.20,如果访问到,则说明成功。


weinxin
扫码订阅,第一时间获得更新
微信扫码二维码,订阅我们网站的动态,另外不定时发送WordPress小技巧,你可以随时退订,欢迎订阅哦~

二丫讲梵 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明防火墙基础知识之SNAT详解
喜欢 (2)
[如果想支持本站,可支付宝赞助]
分享 (0)
eryajf
关于作者:
学无止境,我愿意无止境学。书山有路,我愿意举身投火,淬炼成金!

您必须 登录 才能发表评论!