SNAT和DNAT简介
SNAT:局域网共享一个公网IP接入lnternel,好处如下
1、保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被***的可能。
2、Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT。
3、省钱,公网地址付费,使用SNAT只需要一个公网ip就可以满足几百人同时上网。
DNAT:向internel发布内网服务器
在内网中有服务器,如果想让公网用户访问有有两种方法。
配置双网卡,一网卡对内,一网卡对外;一般是高访问量的web服务器,为了避免占用网关的流量才这样做,使用不是很广泛。
内网web服务器,或是ftp服务器,为了用户在公网也可以访问,有不想买公网ip地址,采用DNAT方案。
SNAT实现
环境拓扑图:
环境说明:
系统环境 | 主机名 | 地址配置 | 功能描述 | |
WEB服务器 | Centos6.6 64位 | WEB | 公网:eth0 1.1.1.1 | 提供web页面,供用户访问 |
iptables防火墙 | Centos6.6 64位 | iptables | 内网:eth0 172.16.4.1 外网:eth1 1.1.1.2 | 当有用户访问公网时,修改用户请求数据报的源地址为防火墙公网地址,实现SNAT功能。 |
内网用户 | Centos6.6 64位 | LAN | 内网:172.16.4.100 网关:172.16.4.1 | 测试客户端,用来访问外网web服务器 |
地址转换过程
实验过程
前提条件:
1、配置好ip地址,内网用户需要配置网关指向防火墙,保证防火墙可以ping通内网和外网。
2、配置iptables开启路由转发功能,外网配置好web,保证内网可以访问。
开启路由转发功能,实现内外网互相访问
[root@iptables ~]# vim /etc/sysctl.confnet.ipv4.ip_forward = 1[root@iptables ~]# sysctl -pnet.ipv4.ip_forward = 1
设置完成之后内网主机就可以ping通外网WEB服务器了
[root@LAN ~]# ping 1.1.1.1PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.64 bytes from 1.1.1.1: icmp_seq=1 ttl=63 time=1.77ms64 bytes from 1.1.1.1: icmp_seq=2 ttl=63 time=0.837ms
公网web服务器配置测试页并启动服务
[root@WEB ~]# echo "internet WEB" >/var/www/html/index.html[root@WEB ~]# service httpd start
内网访问测试可以正常访问
[root@LAN ~]# curl http://1.1.1.1internet WEB
但是:从web服务器的日志分析,访问的地址是内网地址,由于是测试环境配置了路由,所以可以访问;如果是生存环境,由于web服务器没有内网的路由,所以内网客户端的请求到达web服务器后,无法回应。
[root@WEB ~]# tail -1 /var/log/httpd/access_log172.16.4.100 - - [23/Apr/2015:10:37:53 +0800]"GET / HTTP/1.1" 200 13 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu)libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
IPTABLES配置SNAT
配置SNAT将172.16.0.0网络所有主机只要通过防火墙上网就做源地址修改,将源地址修改为1.1.1.2。
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -oeth1 -j SNAT --to-source 1.1.1.2
内网访问公网web服务器
[root@LAN ~]# curl http://1.1.1.1internet WEB
查看公网服务器日志显示是防火墙外网ip地址访问的,说明SNAT配置成功。
[root@WEB ~]# tail -1 /var/log/httpd/access_log1.1.1.2 - - [23/Apr/2015:10:42:33 +0800] "GET/ HTTP/1.1" 200 13 "lib/1.2.3 libidn/1.18 libssh2/1.4.2"
设置完成SNAT之后最好可以设置一下IPTABLES规则保证防火墙安全。
IPTABLES主机防火墙规则设置
iptables -A INPUT -s 172.16.4.10 -p tcp --dport 22-j ACCEPTiptables -A OUTPUT -m state --stateESTABLISHED,RELATED -j ACCEPTiptables -P INPUT DROPiptables -P OUTPUT DROP
IPTABLES网络型防火墙转发规则设置;如果是生产环境,可以不用配置,因为公网地址无法访问私网地址,这里配置主要是为了更接近生产环境
iptables -A FORWARD -d172.16.0.0/16 -m state --stateESTABLISHED,RELATED -j ACCEPTiptables -AFORWARD -s 172.16.0.0/16 -j ACCEPTiptables -PFORWARD DROP
配置完成之后内网可以访问外网,但是外网已经无法访问内网了
动态地址上网说明:
在某些情况下,网关的外网ip地址可能并不固定,如ADSL宽带接入时。为了解决这种问题,IPTABLES提供了一个名为MASQUERADE的数据报控制类型,MASQUERAD同样用来修改源ip地址,只不过他能够自动获取外网ip地址。
iptables -t nat -A POSTROUTING -s 172.16.0.0/16 -oppp0 -j MASQUERADE
DNAT实现
环境拓扑图:
环境说明:
系统环境 | 主机名 | 地址配置 | 功能描述 | |
WEB服务器 | Centos6.6 64位 | WEB | 内网:eth0:172.16.4.100 网关:172.16.4.1 | 提供web页面供用户访问 |
iptables防火墙 | Centos6.6 64位 | iptables | 内网:eth0 172.16.4.1 外网:eth1 1.1.1.2 | 当用户请求公网地址的80端口时将请求转发给,内网服务器,实现DNAT功能 |
外网用户 | Centos6.6 64位 | WAN | 外网:eth0:1.1.1.1 | 测试客户端,用来访问内网服务器 |
地址转换过程
实现过程
前提条件:
清除所有SNAT的配置,IP地址等相关信息不变,保证内网和外网可以ping通。
配置过程:
配置内网web页面,并启动httpd服务
[root@WEB ~]# echo "LAN WEB" >/var/www/html/index.html[root@WEB ~]# service httpd start
外网访问内网web服务器
[root@WAN ~]# curl http://172.16.4.100LAN WEB
防火墙配置DNAT
iptables -t nat -A PREROUTING -d 1.1.1.2 -p tcp--dport 80 -j DNAT --to-destination 172.16.4.100
外网访问IPTABLES防火墙的公网地址,就可以打开网页了
[root@WAN ~]# curl http://1.1.1.2LAN WEB
但是记录的日志是外网用户的地址
[root@LAN ~]# tail -1 /var/log/httpd/access_log1.1.1.1 - - [24/Apr/2015:03:38:36 +0800] "GET/ HTTP/1.1" 200 8 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu)libcurl/7.19.7 NSS/3.15.3 zlib/1.2.3 libidn/1.18 libssh2/1.4.2"