防火墻DNAT與SNAT詳談

SNAT： 源地址轉(zhuǎn)換，作用是將ip數(shù)據(jù)包的一個(gè)地址變成另外一個(gè)地址； 

即墨ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)建站的ssl證書銷售渠道，可以享受市場價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

A: 192.168.100.100          eth0       用戶

B: 192.168.100.1           eth0

 192.168.200.200           eth2       防火墻

C:  192.168.200.100          eth0       web容器

A------------------->C

A--------->B

      B------->C

A用戶，訪問C上的網(wǎng)站，SNAT轉(zhuǎn)化過程，A 首先訪問的是B，也就是防火情的192.168.100.1；然后，再通過防火墻的192.168.200.200訪問C網(wǎng)站；

配置過程如下：

1）A：配置eth0網(wǎng)關(guān)：192.168.100.1

2）B:  配置eth2網(wǎng)關(guān)： 192.168.200.1

注：suse下配置網(wǎng)卡的網(wǎng)關(guān)：route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先，B要開通路由轉(zhuǎn)發(fā)：

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次，配置防火墻，將A訪問C轉(zhuǎn)發(fā)為B訪問C，

即：    192.168.100.100----------------------------------------------->192.168.200.100

過程：192.168.100.100------------->192.168.200.200

                                                                192.168.200.200----------->192.168.200.100

iptables的路由規(guī)則：

-A POSTROUTING -s 192.168.100.100 -o eht0 -j SNAT --to-source 192.168.200.200

到這里，DNAT是設(shè)置完了；接下來是測試了

重啟防火墻，或者重新加載防火墻的配置文件： /etc/init.d/iptables reload

然后，抓包，看訪問過程

tcpdump -i any port 80 -s 0 -w 保存的包名

DNAT：將一組本地內(nèi)部地址映射到一組全球內(nèi)部地址；

A: 192.168.100.100           eth0       用戶

B: 192.168.100.1            eth0

 192.168.200.200             eth2       防火墻

C: 192.168.200.100            eth0       web容器

A------------------->B

A--------->B

      B------->C

A用戶，訪問B，SNAT轉(zhuǎn)化過程，A 訪問的B，也就是防火情的192.168.100.1；實(shí)際上訪問過程是，A 訪問的B，也就是防火情的192.168.100.1，后，防火墻B再通過192.168.200.200訪問192.168.200.100 C的web容器；

配置過程如下：

1）C：配置eth0網(wǎng)關(guān)：192.168.200.1

2）B:  配置

eth0網(wǎng)關(guān)： 192.168.100.1

eth2網(wǎng)關(guān)： 192.168.200.1

注：suse下配置網(wǎng)卡的網(wǎng)關(guān)：route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先，B要開通路由轉(zhuǎn)發(fā)：

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次，配置防火墻，將A訪問C轉(zhuǎn)發(fā)為B訪問C，

iptables -t nat -A     PREROUTING -d 192.168.100.1 -p tcp -m tcp --deport 80 -i eth0 -j DNAT --todestionation 192.168.200.100

重啟防火墻，或者重新加載防火墻的配置文件： /etc/init.d/iptables reload

然后，抓包，看訪問過程

tcpdump -i any port 80 -s 0 -w 保存的包名

網(wǎng)頁名稱：防火墻DNAT與SNAT詳談
文章分享：http://m.jiaotiyi.com/article/psijhe.html