网站建设资讯

NEWS

网站建设资讯

防火墙DNAT与SNAT详谈

SNAT: 源地址转换,作用是将ip数据包的一个地址变成另外一个地址; 

即墨ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联建站的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18980820575(备注:SSL证书合作)期待与您的合作!

A: 192.168.100.100          eth0       用户

B: 192.168.100.1           eth0

 192.168.200.200           eth2       防火墙

C:  192.168.200.100          eth0       web容器

A------------------->C

A--------->B

      B------->C

A用户,访问C上的网站,SNAT转化过程,A 首先访问的是B,也就是防火情的192.168.100.1;然后,再通过防火墙的192.168.200.200访问C网站;

配置过程如下:

1)A:配置eth0网关:192.168.100.1

2)B:  配置eth2网关: 192.168.200.1

注:suse下配置网卡的网关:route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先,B要开通路由转发:

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次,配置防火墙,将A访问C转发为B访问C,

即:    192.168.100.100----------------------------------------------->192.168.200.100

过程:192.168.100.100------------->192.168.200.200

                                                                192.168.200.200----------->192.168.200.100

iptables的路由规则:

-A POSTROUTING -s 192.168.100.100 -o eht0 -j SNAT --to-source 192.168.200.200

到这里,DNAT是设置完了;接下来是测试了

重启防火墙,或者重新加载防火墙的配置文件: /etc/init.d/iptables reload

然后,抓包,看访问过程

tcpdump -i any port 80 -s 0 -w 保存的包名

DNAT:将一组本地内部地址映射到一组全球内部地址;

A: 192.168.100.100           eth0       用户

B: 192.168.100.1            eth0

 192.168.200.200             eth2       防火墙

C: 192.168.200.100            eth0       web容器

A------------------->B

A--------->B

      B------->C

A用户,访问B,SNAT转化过程,A 访问的B,也就是防火情的192.168.100.1;实际上访问过程是,A 访问的B,也就是防火情的192.168.100.1,后,防火墙B再通过192.168.200.200访问192.168.200.100 C的web容器;

配置过程如下:

1)C:配置eth0网关:192.168.200.1

2)B:  配置

eth0网关: 192.168.100.1

eth2网关: 192.168.200.1

注:suse下配置网卡的网关:route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先,B要开通路由转发:

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次,配置防火墙,将A访问C转发为B访问C,

iptables -t nat -A     PREROUTING -d 192.168.100.1 -p tcp -m tcp --deport 80 -i eth0 -j DNAT --todestionation 192.168.200.100

重启防火墙,或者重新加载防火墙的配置文件: /etc/init.d/iptables reload

然后,抓包,看访问过程

tcpdump -i any port 80 -s 0 -w 保存的包名


本文题目:防火墙DNAT与SNAT详谈
本文URL:http://cdweb.net/article/psijhe.html