iptables实现地址转换

sixijie • 2016-10-31 22:10 • Linux干货

NAT:(工作在网络和传输层) 过载技术

Basic NAT:静态NAT
    一个内部主机,分配一个外网地址
NAPT：动态NAT,网络地址端口转换;net会话表
    源地址转换：SNAT 用于内网主机访问互联网
    目标地址转换：DNAT 让互联网上主机访问本地内网上的某服务器上的服务(发布)

iptables基于SNAT和DNAT这两个目标(target)实现地址转换技术

-j SNT --to-source SIP
    规则添加：POSTROUTING链
-j MASQUERADE  动态获取(外网地址是动态的)
-j DNAT --to-destination DIP{:PORT}
    支持端口映射

iptables实现地址转换

iptables实现地址转换

源地址转换示例

iptables实现地址转换

// 此时 filter 表上的 FORWARD 链 要打开(会经过此表中的此链)
[root@nat ~]# iptables -t nat -F
[root@nat ~]# iptables -t nat -L -n
[root@nat ~]# iptables -t nat -A POSTROUTING -s 10.1.249.158 -j SNAT --to-source 192.168.2.3
[root@nat ~]# iptables -t nat -L -n
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       all  --  10.1.249.158         0.0.0.0/0           to:192.168.2.3 

内部主机访问外部主机
[root@nei ~]# curl http://192.168.2.4/index.html
hello 
查看外部主机中web的访问日志
[root@wai ~]# tail /var/log/httpd/access_log
192.168.2.3 - - [13/Oct/2016:21:40:58 +0800]
192.168.2.3 - - [13/Oct/2016:21:40:59 +0800]
//主机,我们的内部主机IP为10.1.249.158
//而httpd的访问日志为192.168.2.3的访问
//说明成功实现了源地址转换

目标地址转换示例(对80端口的转换)

iptables实现地址转换

[root@luyou ~]# iptables -t filter -F 
[root@luyou ~]# iptables -t nat -F
[root@luyou ~]# iptables -t nat -A PREROUTING -d 10.1.249.125 -p tcp --dport 80 -j DNAT --to-destination 192.168.2.4
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            10.1.249.125        tcp dpt:80 to:192.168.2.4

[root@luyou ~]# netstat -tln | grep "\<80\>"  此时本机上并没有开放80端口
[root@wai ~]# curl http://10.1.249.125
hello  --> 此时我们访问为 luyou 主机上的80端口  由上面可知,此服务器上并没有开放80,而是将请求送往 后端服务器

目标地址和端口转换示例(对22端口的转换)

[root@luyou ~]# iptables -t filter -F  FORWARD
[root@luyou ~]# iptables -t nat -A PREROUTING -d 10.1.249.125 -p tcp --dport 22022 -j DNAT --to-destination 192.168.2.4:22
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  0.0.0.0/0            10.1.249.125        tcp dpt:22022 to:192.168.2.4:22 
[root@wai ~]# ssh -p 22022 10.1.249.125  --> 连接 luyou 设备的22022端口
[root@nei ~]# --> 连接到 nei  内网的主机上来
[root@luyou ~]# iptables -t nat -L -n -v
Chain PREROUTING (policy ACCEPT 42 packets, 4633 bytes)
 pkts bytes target     prot opt in     out     source               destination         --> 有报文成功匹配到
    1    60 DNAT       tcp  --  *      *       0.0.0.0/0            10.1.249.125        tcp dpt:22022 to:192.168.2.4:22 

//此时我们请求luyou这台NAT服务器的22022端口的ssh服务,此时我们nat路由器的ssh服务并没有监听在22022端口,
//而是将目标IP和目标端口都进行了转换了,使我们连接到了内网的ssh服务器上

原创文章，作者：sixijie，如若转载，请注明出处：http://www.178linux.com/56515

赞 (1)

0

06文本工具简单介绍

上一篇 2016-10-31 21:14

说明Linux系统上命令的使用格式

下一篇 2016-10-31 22:16

8.12作业

作业： 1、查找/var目录下属主为root，且属组为mail的所有文件 find /var -user root -group mail -ls 2、查找/var目录下不属于root、lp、gdm的所有文件 find /var -not \( -user root -o -user…

Linux干货 2016-08-15
持续交付的Mesos与Docker导入篇

变革这个词在当今的数字化时代司空见惯，IT技术每过一段时间就会有一起革新，从WEB2.0、虚拟化、云计算、大数据、微架构、DevOps再到今天的容器Docker与Mesos。 Docker的出现方便了应用的测试、部署、与升级，其将各种应用程序和它们所依赖的运行环境打包成标准的Container/Image，进而发布到不同的平台上运行。Docker的轻量级、快…

Linux干货 2016-07-10
N22-第四周

1、复制/etc/skel目录到/home/tuser1，要求/home/tuser1及其内部文件的属组和其它用户均没有任何访问权限。 ~]# cp -r /etc/skel /home/tuser1~]# ll -d /home/tuser1drwxr-xr-x. 3 root root 74 Aug 31 10:13 /home/tuser1~]# ch…

Linux干货 2016-09-07
N21沉舟第十周作业

1、请详细描述CentOS系统的启动流程（详细到每个过程系统做了哪些事情） 2、为运行于虚拟机上的CentOS 6添加一块新硬件，提供两个主分区； (1) 为硬盘新建两个主分区；并为其安装grub； (2) 为硬盘的第一个主分区提供内核和ramdisk文件；为第二个分区提供rootfs； (3) 为rootfs提供…

Linux干货 2016-09-10
N26-第二周

一、文件管理类命令 pwd：显示工作目录 cd：切换目录 cd [dir] cd: 切换回家目录；注意：bash中, ~表示家目录； cd ~：切换回自己的家目录 cd ~USERNAME：切换至指定用户的家目录； cd -：在上一次所在目录与当前目录之间来回切换；相关的环境变量 $PWD：当前工作目录 $OLDPWD：上一次的工作目录 file：查看文件…

Linux干货 2017-03-07
LINUX命令帮助

命令帮助在维护和使用Linux系统时，常常会遇到忘记命令的使用方法，遇到一个比较陌生的命令，又或者想知道这个命令是什么的情况可以查看命令使用帮助。 LINUX命令使用帮助可参考:程序自身的帮助文档、官方文档、官方站点、LINUX的发行版官方文档、其他网站或者搜索引擎 LINUX命令分为内部命令（shell内置的命令）和外部命令，内部命令和外部命令…

Linux干货 2017-05-28