win10 电脑做网站服务器吗,优质网站建设公司哪家好,维护一个网站难吗,免费查企业app排行榜目录
1.SNAT策略及应用
1.1SNAT原理与应用
1.2 SNAT策略的工作原理
1.3 实验操练
2.DNAT策略
2.1 DNAT策略的概述
2.2 DNAT原理与应用
2.3 实验操练 1.SNAT策略及应用
1.1SNAT原理与应用
SNAT 应用环境#xff1a;局域网主机共享单个公网IP地址接入Internet#xf…目录
1.SNAT策略及应用
1.1SNAT原理与应用
1.2 SNAT策略的工作原理
1.3 实验操练
2.DNAT策略
2.1 DNAT策略的概述
2.2 DNAT原理与应用
2.3 实验操练 1.SNAT策略及应用
1.1SNAT原理与应用
SNAT 应用环境局域网主机共享单个公网IP地址接入Internet私有IP不能在Internet中正常路由 SNAT原理修改数据包的源地址。
SNAT转换前提条件 1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址 2.Linux网关开启I
1.2 SNAT策略的工作原理 未作SNAT转换时的情况 进行SNAT转换后的情况 SNAT转换1固定的公网IP地址
ptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to 12.0.0.1
或
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j SNAT --to-source 12.0.0.1-12.0.0.10内网IP 出站 外网网卡 外网IP或地址池 SNAT转换2非固定的公网IP地址共享动态IP地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens36 -j MASQUERADE小知识扩展 一个IP地址做SNAT转换一般可以让内网 100到200 台主机实现上网。
1.3 实验操练
实验条件说明
网关服务器CentOS 7-1
内网客户端主机1CentOS 7-2
内网客户端主机2CentOS 7-3
外网服务端模拟CentOS 7-4 注意
切记所有主机、服务端以及网关服务器都需要关闭防火墙并禁止开机自启动功能
需要在所有主机和服务器上清空iptables的所有规则以及iptables中nat表的所有规则
[rootlocalhost ~]# systemctl disable --now firewalld.service
[rootlocalhost ~]# setenforce 0
[rootlocalhost ~]# systemctl disable firewalld.service
[rootlocalhost ~]# systemctl status firewalld
● firewalld.service - firewalld - dynamic firewall daemonLoaded: loaded (/usr/lib/systemd/system/firewalld.service; disabled; vendor preset: enabled)Active: inactive (dead)Docs: man:firewalld(1)[rootlocalhost ~]# iptables -F iptables -t nat -F #清楚所有iptables规则
网关服务器centos7-1 [rootlocalhost ~]# vim /etc/sysctl.conf
net.ipv4.ip_forward1#添加开启路由转发功能 SNAT 内网 -- 外网 转换源地址
iptables -t nat -A POSTROUTING -s 内网的源地址/网段 -o 出站网卡 -j SNAT --to 要转换的公网源地址
iptables -t nat -A POSTROUTING -s 192.168.80.0/24 -o ens35 -j SNAT --to 12.0.0.30 设置ens33 内网接口 ens35外网地址 内网客户端主机CentOS 7-2 内网客户端主机2CentOS 7-3 外网服务端模拟CentOS 7-4
[rootlocalhost ~]# cd /etc/sysconfig/network-scripts/
[rootlocalhost network-scripts]# vim ifcfg-ens33
TYPEEthernet
PROXY_METHODnone
BROWSER_ONLYno
BOOTPROTOstatic
DEFROUTEyes
IPV4_FAILURE_FATALno
IPV6INITyes
IPV6_AUTOCONFyes
IPV6_DEFROUTEyes
IPV6_FAILURE_FATALno
IPV6_ADDR_GEN_MODEstable-privacy
NAMEens33
UUID14387e34-4bca-4d9a-9e88-2d393a09e8f7
DEVICEens33
ONBOOTyes
IPADDR12.0.0.12
NETMASK255.255.255.0
GATEWAY12.0.0.30
#DNS1192.168.80.2
[rootlocalhost network-scripts]# systemctl restart network
[rootlocalhost yum.repos.d]# yum install -y httpd
[rootlocalhost network-scripts]# systemctl start httpd
[rootlocalhost network-scripts]# systemctl status httpd
● httpd.service - The Apache HTTP ServerLoaded: loaded (/usr/lib/systemd/system/httpd.service; disabled; vendor preset: disabled)Active: active (running) since 三 2024-05-22 21:29:42 CST; 3s ago 抓包
tcpdump -i ens33 -s 0 -w ./test2.cap 验证实验结果私网地址转换为公网地址
2.DNAT策略
2.1 DNAT策略的概述 2.2 DNAT原理与应用
DNAT 应用环境在Internet中发布位于局域网内的服务器 DNAT原理修改数据包的目的地址。 DNAT转换前提条件 1.局域网的服务器能够访问Internet 2.网关的外网地址有正确的DNS解析记录 3.Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward 1 sysctl -p #卸载
DNAT转换1发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.11
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.80.11入站 外网网卡 外网IP 内网服务器IPiptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.80.11-192.168.80.20
DNAT转换2发布时修改目标端口
#发布局域网内部的OpenSSH服务器外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.80.11:22
yum -y install net-tools #若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33
注意使用DNAT时同时一般要配合SNAT使用才能实现响应数据包的正确返回
小知识扩展主机型防火墙 主要使用 INPUT、OUTPUT 链设置规则时一般要详细的指定到端口网络型防火墙 主要使用 FORWARD 链设置规则时很少去指定到端口一般指定到IP地址或者到网段即可
2.3 实验操练
实验情况说明
外网客户端主机1CentOS 7-2
外网客户端主机2: CentOS 7-3
网关服务器CentOS 7-1
内网服务端模拟CentOS 7-4
拓扑图 内网主机改成外网主机
外网主机改成内网主机
7-4改成vmnet1 7-2 7-3改成vmnet2
centos7-2
cd /etc/sysconfig/network-scripts/
vim ifcfg-ens33
[rootlocalhost network-scripts]# systemctl restart network [rootlocalhost network-scripts]# ifconfig
nslookup www.xy101.com centos7-3
cd /etc/sysconfig/network-scripts/
vim ifcfg-ens33
[rootlocalhost network-scripts]# systemctl restart network
[rootlocalhost network-scripts]# ifconfig
vim /etc/resolv.conf
nslookup www.xy101.com
centos7-4
cd /etc/sysconfig/network-scripts/
vim ifcfg-ens33
[rootlocalhost network-scripts]# systemctl restart network
[rootlocalhost network-scripts]# ifconfig
systemctl restart httpd centos7-1(网关服务器)
yum install -y bind
修改配置文件 vim /etc/named.conf
vim /etc/named.rfc1912.zones
5yy 然后按p cd /var/named/ cp -p named.localhost xy101.com.zone 根据named.localhost复制出xy101.com.zone
vim xy101.com.zone
[rootlocalhost named]# systemctl start named
[rootlocalhost named]# systemctl enable named vim /etc/sysctl.conf sysctl -p iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.30 -p tcp --dport 80 -j DNAT --to 192.168.80.15:80
iptables -nL -t nat 通过设置ssh进行远程登录到12.0.0.30主机
iptables -t nat -A PREROUTING -i ens35 -d 12.0.0.30 -p tcp --dport 2345 -j DNAT --to 192.168.80.15:22
ssh -p 2345 12.0.0.30
