网站建设涉及的法律,现货交易平台合法的有几家,导航网站 php,如何用ps做网站前言
SNAT和DNAT是两种重要的网络地址转换技术#xff0c;它们允许内部网络中的多个主机共享单个公共IP地址#xff0c;或者将公共IP地址映射到内部网络中的特定主机。这些技术在构建企业级网络和互联网应用程序时非常重要#xff0c;因为它们可以帮助保护内部网络安全它们允许内部网络中的多个主机共享单个公共IP地址或者将公共IP地址映射到内部网络中的特定主机。这些技术在构建企业级网络和互联网应用程序时非常重要因为它们可以帮助保护内部网络安全同时提供对外部网络的可访问性。
目录
前言
一、SNAT
1. 概述
2. SNAT原理与应用
3. SNAT转换前提条件
4. 案例演示
5. 公网地址未知
二、DNAT
1. 概述
2. DNAT原理与应用
3. DNAT转换前提条件
4. 案例演示 一、SNAT
1. 概述
SNATSource Network Address Translation是一种将私有IP地址转换为公共IP地址的技术通常用于将内部网络中的多个主机共享单个公共IP地址的情况。在SNAT过程中路由器或防火墙会将内部主机的IP地址替换为公共IP地址以便能够与互联网通信。当公共IP地址接收到响应时路由器或防火墙会将响应转发到相应的内部主机。
2. SNAT原理与应用
SNAT 应用环境局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
SNAT原理源地址转换根据指定条件修改数据包的源IP地址通常被叫做源映射
3. SNAT转换前提条件
① 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
② Linux网关开启IP路由转发 linxu系统本身是没有转发功能 只有路由发送数据
4. 案例演示
公网ip有限利用SNAT技术实现私网地址都可以访问公网
环境准备
① 三台服务器7-0客户端、7-1网关、7-2服务端
② 硬件要求7-0和7-2只需一块网卡、7-1需要两块网卡
③ 网络模式要求7-0为NAT模式、网卡ens33为NAT模式、网卡ens36为仅主机模式、7-2为仅主机模式
④ IP地址要求7-0为192.168.190.100/24网关为192.168.190.1017-1ens33网卡地址为192.168.190.101/24网关为192.168.190.101、ens36为12.0.0.254/24网关为12.0.0.2547-2为12.0.0.10/24网关为12.0.0.254
图示 操作
① 关闭三台机器的防火墙和selinux并安装httpd服务
[rootlocalhost ~]# systemctl stop firewalld.service
[rootlocalhost ~]# setenforce 0
[rootlocalhost ~]# yum install httpd -y
② 配置7-0客户端修改网卡ip为192.168.190/24网关192.168.190.101重启网卡
[rootlocalhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens3316 IPADDR192.168.190.10017 NETMASK255.255.255.018 GATEWAY192.168.190.101
[rootlocalhost ~]# systemctl restart network③ 配置7-2客户端修改网卡ip为12.0.0.10网关12.0.0.254重启网卡
[rootlocalhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens3316 IPADDR12.0.0.1017 NETMASK255.255.255.018 GATEWAY12.0.0.254
[rootlocalhost ~]# systemctl restart network
④ 配置7-1网关服务器分别配置ens33和ens36网卡信息并开启路由转发功能
[rootlocalhost ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens3316 IPADDR192.168.190.10117 NETMASK255.255.255.018 GATEWAY192.168.190.101[rootlocalhost ~]# cd /etc/sysconfig/network-scripts/
[rootlocalhost network-scripts]# cp ifcfg-ens33 ifcfg-ens36
[rootlocalhost network-scripts]# vim ifcfg-ens3613 UUID0927995e-64e0-49fb-b8ea-7809b06fc6b9
#删除以上内容12 NAMEens3614 DEVICEens3616 IPADDR12.0.0.25417 NETMASK255.255.255.018 GATEWAY12.0.0.254[rootlocalhost ~]# vim /etc/sysctl.conf
11 net.ipv4.ip_forward1 #开启路由转发
[rootlocalhost ~]# sysctl -p #刷新配置文件
net.ipv4.ip_forward 1 ⑥ 模拟环境中机器间默认是互通的但生产环境内网和外网没有SNAT的情况下是不通的这里的源地址为192.168.190.100正常情况下私网ip是不会出现在公网中
7-0内网机器
[rootlocalhost ~]# curl 12.0.0.107-2公网服务器
[rootlocalhost ~]# tail -f /var/log/httpd/access_log
192.168.190.100 - - [19/Feb/2024:18:44:28 0800] GET / HTTP/1.1 403 4897 - curl/7.29.0⑦ 在7-1中添加防火墙规则使得来源于192.168.30.0/24网段的所有从ens36网阿卡流出数据的ip全部NAT为12.0.0.254。然后再使用7-0去curl7-2服务端并在服务端实时查看日志
7-1网关服务器
[rootlocalhost ~]# iptables -t nat -A POSTROUTING -s 192.168.190.0/24 -o ens36 -j SNAT --to 12.0.0.254
#将源IP地址为192.168.190.0/24网段的内部主机数据包进行SNAT地址转换使用公网IP地址12.0.0.254作为源IP地址并通过ens36接口进行转发
7-0客户机
[rootlocalhost ~]# curl 12.0.0.10
7-2服务器
[rootlocalhost ~]# tail -f /var/log/httpd/access_log
192.168.190.100 - - [19/Feb/2024:18:44:28 0800] GET / HTTP/1.1 403 4897 - curl/7.29.0
12.0.0.254 - - [19/Feb/2024:18:50:45 0800] GET / HTTP/1.1 403 4897 - curl/7.29.0
此时可以看见日志源ip已转换为公网地址
5. 公网地址未知
可以将内部网络中的数据包源IP地址转换为外部网络接口的IP地址以便能够通过外部网络进行访问。这样做的好处是可以隐藏内部网络的真实IP地址增强安全性同时也可以避免公网IP地址不足的问题。
7-1网关服务器
[rootlocalhost ~]# iptables -t nat -A POSTROUTING -s 192.168.190.0/24 -o ens36 -j SNAT --to MASQUERADE
#转换后的源IP地址为ens36接口的IP地址并使用MASQUERADE方式进行转换MASQUERADE方式是一种特殊的SNAT方式它会动态地将内部网络中的IP地址转换为外部网络接口的IP地址这样可以方便地处理不同的内部网络IP地址转换到同一个外部IP地址的情况。可以理解为伪装。
二、DNAT
1. 概述
DNATDestination Network Address Translation是一种将公共IP地址转换为私有IP地址的技术通常用于将公共IP地址映射到内部网络中的特定主机。在DNAT过程中路由器或防火墙会将公共IP地址替换为内部主机的私有IP地址以便能够将请求转发到正确的主机。当内部主机接收到请求时它会将响应发送回路由器或防火墙后者会将响应的源地址转换为公共IP地址以便将响应发送回请求方。
2. DNAT原理与应用
DNAT应用环境在Internet中发布位于局域网内的服务器
DNAT原理目的地址转换根据指定条件修改数据包的目的IP地址保证了内网服务器的安全通常被叫做目的映射。
3. DNAT转换前提条件
① 局域网的服务器能够访问Internet
② 网关的外网地址有正确的DNS解析记录
③ Linux网关开启IP路由转发
4. 案例演示
为提高服务器安全性从公网访问的用户只能通过nat转换地址才可访问内网中的服务器
环境准备
① 三台服务器7-0客户端、7-1网关、7-2服务端
② 硬件要求7-0和7-2只需一块网卡、7-1需要两块网卡
③ 网络模式要求7-0为NAT模式、网卡ens33为NAT模式、网卡ens36为仅主机模式、7-2为仅主机模式
④ IP地址要求7-0为192.168.190.100/24网关为192.168.190.1017-1ens33网卡地址为192.168.190.101/24网关为192.168.190.101、ens36为12.0.0.254/24网关为12.0.0.2547-2为12.0.0.10/24网关为12.0.0.254
图示 ① 网关服务器配置规则
[rootlocalhost ~]# iptables -F
[rootlocalhost ~]# iptables -t nat -A PREROUTING -i ens36 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.190.101
#将到达本机的目标IP地址为12.0.0.254目标端口为80的TCP数据包进行DNAT地址转换将目标IP地址转换为192.168.190.101。
② 实时查看7-0的/var/log/httpdd/access_log日志使用7-2公网地址直接curl内网的7-0可以看到日志中源地址
7-2公网客户端
[rootlocalhost ~]# curl 192.168.190.100
7-0内网服务端
[rootlocalhost ~]# tail -f /var/log/httpd/access_log
12.0.0.10 - - [19/Feb/2024:21:19:23 0800] GET / HTTP/1.1 403 4897 - curl/7.29.0总结
SNAT和DNAT都是NAT的一种形式用于在不同网络之间转换IP地址以实现网络安全、网络连接和网络管理的目的 。
