dnat

网络环境 实验配置 centos IP Address: 123.121.13.10(联通1) 123.123.14.10(联通2) 10.10.10.1(内网) CactiEZ: 123.121.13.11 华为6720 内网 IP Address：10.10.10.10 centos使用DNAT进行交换机的SNMP 端口映射，实现CactiEZ进行监控交换机性能 iptables -t nat -A PREROUTING -d 123.121.13.10/32 -p udp -m udp --dport 1611 -j DNAT --to-destination 10.10.10.10:161 注:SNMP Client udp Port 161 实验目的 在centos使用默认网关在联通1的时候，可以正常监控，当centos默认网关切换到联通2时候，发现DNAT失效。现在需要解决网关切换并且交换机数据监控正常。 解决方案 使用策略路由即可实现 策略路由表 /etc/iproute2/rt_tables 在文件中创建一个新表:201 snmp 将snmp表默认设置在联通1默认网关 ip rou re 0/0 via 123.121.13.1 table snmp ip rule add from 123.121.13.10 table snmp 实验总结

1.SNAT iptables防火墙 Centos6.6 64位 iptables 内网：eth0 172.16.4.1 外网：eth 112.112.112.112/24 当有用户访问公网时，修改用户请求数据报的源地址为防火墙公网地址，实现SNAT功能。 iptables -t nat -A POSTROUTING -o eth1 -s 172.16.4.1/24 -j SNAT --to-source 114.114.114.114/24 2.DNAT iptables防火墙 Centos6.6 64位 iptables 内网：eth0 172.16.4.1 外网：eth1 61.146.164.124 当用户请求公网地址的80端口时将请求转发给，内网服务器，实现DNAT功能 iptables -t nat -p tcp -d 61.146.164.124/24 -p tcp --dport 8888 -j DNAT --to-destination 172.16.4.1:80 来源： https://www.cnblogs.com/hixiaowei/p/7813124.html

iptables 不是防火墙，而是一个客户端，通过执行命令将防火墙的配置放置在真正的防火墙框架中，位于用户空间，netfilter 才是真正的防火墙安全框架，位于内核空间。我们可以通过 iptables 对进入主机和从主机的 ip 以及端口进行限制，还可以进行网络转发。下面图片来源于博客 iptables详解：iptables 概念 链 如上图所示，”链“ 表示的是数据流经过的一个一个的关卡，一共有五个链：PREROUTING, INPUT, FORWORD, OUTPUT, POSTROUTING 到本机某进程的报文：PREROUTING -> INPUT 从本机某进程出去的报文：OUTPUT -> POSTROUTING 由本机转发的报文：PREROUTING -> FORWARD -> POSTROUTING 表 “表” 表示的是每个关卡上设置的规则的分类，一共有四类 filter 表：负责过滤功能，防火墙；内核模块：iptable_filter nat 表：网络地址转换功能；内核模块：iptable_nat mangle 表：对报文进行拆分和修改；内核模块：iptable_mangle raw 表：关闭 nat 表上启用的连接追踪机制：iptable_raw 表和链的关系 并不是所有的链上都同时存在上面四个表，同时每个表也不会存在所有的链上： PREROUTING：raw

NAT 一. 什么是 NAT NAT（Network Address Translation）译为网络地址转换。通常路由器在转发我们的数据包时，仅仅会将源MAC地址换成自己的MAC地址，但是NAT技术可以修改数据包的源地址、目的地址以及源端口、目的端口等信息。 二. NAT的作用 NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口和流量的转发、重定向，实现如端口映射、跨网络访问、流量代理等功能。 二. iptables实现NAT转发 1.语法及参数介绍 iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作 要使用iptables的NAT功能，我们首先需要启用网卡的IP转发功能 echo 1 > /proc/sys/net/ipv4/ip_forward 如果想要永久生效，我们要编辑 /etc/sysctl.conf 文件，设置 net.ipv4.ip_forward = 1 ，然后用 sysctl -p 命令使配置文件生效。 我们使用 -t nat 参数指明使用nat表，因为iptables默认使用filter表。 nat表同filter表一样有三条缺省的"链"(chains)： POSTROUTING：定义进行源地址转换规则，重写数据包的源IP地址 PREROUTING

https://mp.weixin.qq.com/s/54HoVNcxhkiY7eBFbbPy9w # iptables 服务器作为网关时，内网访问公网 SNAT 策略应用 ：是为局域网共享上网提供接入策略，处理数据包的切入时机是在路由选择后进行，是将局域网外发数据包的源 IP 地址修改为网关服务器的外网接口 IP 地址。 SNAT 策略用在 nat 表的 postrouting 链。 编写 SNAT 策略时，需使用 iptables 命令结合 --to-source IP 地址 选项来指定修改后的源 IP 地址。 iptables –t nat -A POSTROUTING -s [内网 IP 或网段] -j SNAT --to [公网 IP] # 访问 iptables 公网 IP 端口，转发到内网服务器端口 DNAT 应用：是在 Internet 中发布企业内部的服务器，处理数据包的切入时机是在路由选择之前进行。将访问网关外网接口 IP 地址的数据包的目标地址修改为实际提供服务的内部服务器的 IP 地址。 DNAT 策略用在 nat 表的prerouting 链 使用 iptables 命令设置 DNAT 策略时，需要结合 --to-destination IP 地址 选项来指定内部服务器的 IP 地址。 iptables –t nat -A PREROUTING -d

在这里，系统会根据IP数据包中的destination ip address中的IP地址对数据包进行分发。如果destination ip adress是本机地址，数据将会被转交给INPUT链。如果不是本机地址，则交给FORWARD链检测。 这也就是说，我们要做的 DNAT 要在进入这个菱形转发区域之前，也就是 在PREROUTING链 中做， 比如我们要把访问202.103.96.112的访问转发到192.168.0.112上： iptables -t nat -A PREROUTING -d 202.103.96.112 -j DNAT --to-destination 192.168.0.112 这个转换过程当中，其实就是将已经达到这台Linux网关（防火墙）上的数据包上的destination ip address从202.103.96.112修改为192.168.0.112然后交给系统路由进行转发。 而 SNAT 自然是要在数据包流出这台机器之前的最后一个链也就是 POSTROUTING链 来进行操作 iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 58.20.51.66 这个语句就是告诉系统把即将要流出本机的数据的source ip address修改成为58.20.51.66

1 | 0 NAT 1 | 1 一. 什么是 NAT NAT（Network Address Translation）译为网络地址转换。通常路由器在转发我们的数据包时，仅仅会将源MAC地址换成自己的MAC地址，但是NAT技术可以修改数据包的源地址、目的地址以及源端口、目的端口等信息。 1 | 2 二. NAT的作用 NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口和流量的转发、重定向，实现如端口映射、跨网络访问、流量代理等功能。 1 | 3 二. iptables实现NAT转发 1.语法及参数介绍 iptables [- t TABLE ] COMMAND CHAIN [ num ] 匹配条件 - j 处理动作 要使用iptables的NAT功能，我们首先需要 启用网卡的IP转发功能 echo 1 > /proc/ sys / net / ipv4 / ip_forward 如果想要永久生效，我们要编辑 /etc/sysctl.conf 文件，设置 net.ipv4.ip_forward = 1 ，然后用 sysctl -p 命令使配置文件生效。 我们使用 -t nat 参数指明使用nat表，因为iptables默认使用filter表。 nat表同filter表一样有三条缺省的"链"(chains)：

实现内网访问外网，修改IP地址，使用POSTROUTING 命令： 2、MASQUERADE：地址伪装 适用于外网ip地址非固定的情况 将SNAT规则改为MASQUERADE即可 命令： 3、DNAT：目标地址转换 实现发布公司内部服务器，修改目标地址，使用PREROUTING 命令： 4、备份和还原规则： 备份： 还原： 5、iptables脚本编写 1）定义变量 2）加载必要的模块 3）调整内核参数： 启用内核转发功能：有三种方式（详见第十章笔记的第8点） 4）编写防火墙的规则 6、防火墙的类型： 主机型防火墙：针对本机进行保护，使用filter表中的INPUT、OUTPUT链 网络型防火墙：对内、外网转发进行保护，使用filter表中FORWARD链 Iptables防火墙（SNAT和DNAT）应用示例 实验拓扑图： 实验要求： 2、分别在内部和外部服务器上搭建web服务，修改网页，如 内部web服务器的网页内容： 在本机访问网页，测试能否成功访问。 步骤： 在网站服务器启动httpd服务 在访问主页写入内容 在本机测试如下图： 外网主机同上，测试结果如下图： 3、分别启动网站服务器和网关服务器的SSh，并把网关ssh服务端口改为2345。 步骤： 进入网关服务器的ssh主配置文件vim /etc/ssh/sshd_confing 4、清空三台服务器的防火墙默认配置： 验证

映射容器端口到宿主主机的实现 默认情况下，容器可以主动访问到外部网络的连接，但是外部网络无法访问到容器。 容器访问外部实现 容器所有到外部网络的连接，源地址都会被 NAT 成本地系统的 IP 地址。这是使用 iptables 的源地址伪装操作实现的。 查看主机的 NAT 规则。 $ sudo iptables -t nat -nL ... Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- 172.17.0.0/16 !172.17.0.0/16 ... 其中，上述规则将所有源地址在 172.17.0.0/16 网段，目标地址为其他网段（外部网络）的流量动态伪装为从系统网卡发出。MASQUERADE 跟传统 SNAT 的好处是它能动态从网卡获取地址。 外部访问容器实现 容器允许外部访问，可以在 docker run 时候通过 -p 或 -P 参数来启用。 不管用那种办法，其实也是在本地的 iptable 的 nat 表中添加相应的规则。 使用 -P 时： $ iptables -t nat -nL ... Chain DOCKER (2 references) target prot opt source destination DNAT tcp -- 0.0

firewalld防火墙 firewalld简述 firewalld:防火墙，其实就是一个隔离工具：工作于主机或者网络的边缘 对于进出本主机或者网络的报文根据事先定义好的网络规则做匹配检测， 对于能够被规则所匹配的报文做出相应处理的组件(这个组件可以是硬件，也可以是软件): 主机防火墙 网络防火墙 功能（也叫表） filter:过滤，防火墙 nat:network address translation,网络地址转换 mangle:拆分报文，做出修改，在封装起来 raw:关闭nat表上启用的连接追踪功能 链(内置): PREROUTING INPUT FORWARD OUTPUT POSTROUTING 数据报文的流向 流入:PREROUTING --> INPUT 流出:OUTPUT --> POSTROUTING 转发:PREROUTING --> FORWARD --> POSTROUTING 各功能可以在哪些链上实现 filter: INPUT,FORWARD,OUTPUT nat:PREROUTING(DNAT),OUTPUT,INPUT,POSTROUTING(SNAT) mangle: PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING raw:PREROUTING,OUTPUT 路由发生的时刻（PREROUTING