书香气的域名做网站,淘宝网中国站电脑版登录,网站建设后续的费用,安阳网站建设报价目录
概述
SNAT源地址转换
DANT目的地址转换
抓包
firewalld
端口管理 概述
snat #xff1a;源地址转换
内网——外网 内网ip转换成可以访问外网的ip
也就是内网的多个主机可以只有一个有效的公网ip地址访问外部网络
DNAT#xff1a;目的地址转发
外部用户#…目录
概述
SNAT源地址转换
DANT目的地址转换
抓包
firewalld
端口管理 概述
snat 源地址转换
内网——外网 内网ip转换成可以访问外网的ip
也就是内网的多个主机可以只有一个有效的公网ip地址访问外部网络
DNAT目的地址转发
外部用户可以通过一个公网地址访问服务内部的私网服务
也就是私网的IP和公网IP做一个映射
SNAT源地址转换 步骤
1.修改路由器ens33的IP地址改成内网网关 2.修改路由器ens36的IP地址改成外网网关 3.修改外网的IP地址和网关 4.修改内网的网关 5.配置路由器的内核参数文件 6.设置nat表的规则 -t nat 指定表为nat表
-A POSTROUING 离开本机 -A添加
-s 指定源IP
-o 指定输出网络设备
-j 控制类型
--to 指定整个网段192.168.233.0/24 从ens36出去时做源地址转换转换成10.0.0.10
7.重启网卡 systemctl restart network
8.查看外网的日志 DANT目的地址转换
1.路由器设置规则 -d 11.0.0.11 指定做为目的地址转换的IP地址
-i 从指定的设备进入本机
-p指定协议
-j DNAT 使用目的地址转换
--to 192.168.233.10
外网想要访问内网的192.168.233.10:80的这个web服务只需要访问11.0.0.11就可以访问内网的web服务
iptables -t nat -A PREROUTING -d 10.0.0.10 -i ens36 -p tcp --dport 80 -j DNAT --to 20.0.0.10:80抓包
在Linux当中如何抓包
tcpdump就是Linux自带的抓包工具最小化安装时不带的需要额外安装
静态
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.233.0/24 -w /opt/target.cap
tcp 指定抓包的协议 udp icmp 第一个参数可以不指定协议
-i 只抓经过指定设备的包
-t 不显示时间戳
-s0 抓完整的数据包
-c 10 指定抓包的目的端口
dst port 指定抓包的目的端口
src net 192.168.233.0/24 指定抓包的IP地址
net 网段
host 主机IP地址
-w 保存指定路径
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w /opt/target.cap动态
tcpdump -i ens33 -s0 -w /opt/ens33.cap
如果要用wireshark对数据包进行分析tcpdump在抓包时要使用-s0抓取完整格式否则wireshark无法分析
tcpdump -i ens33 firewalld
ubantu的不同 ufw ubantu firewalld开启防火墙 ufw ubantu firewalld 关闭防火墙
它是按照区域来划分的
firewall-config
public公共区域默认配置了ssh以及DHCPv6预定服务是放通的其他全部都是拒绝默认区域
trusted信任区域允许所有的数据包放通
block限制区域拒绝所有
drop丢弃区域丢弃所有数据包
dmz非军事区域默认只运行ssh通过
home家庭区域。默认只允许ssh通过
internal内部区域和home一模一样
external外部区域也是默认允许ssh通过其他全部拒绝
work工作区域默认允许ssh通过
firewall-cmd 命令行工具
firewall-cmd --get-default-zone 查看当前系统的默认区域
firewall-cmd --list-all 查看当前区域设定的规则
firewall-cmd --set-default-zoneblock 切换区域
firewall-cmd --list-services 查看区域内允许访问的服务
dhcpv6-client 获取ipv6的地址
interfaces: ens33 该区域默认使用的网卡设备
firewall-cmd --zonepulic --change-interfaceens36 修改区域使用的网卡设备
firewall-cmd --add-servicehttp --zonepulic 添加服务
firewall-cmd --add-servicr{ftp,nfs,http} --zonepulic --permanent 添加多个服务并且永久生效
firewall-cmd --remove-servicr{ftp,nfs,http} --zonepulic --permanent 删除多个服务
firewall-cmd --reload 重启
查看当前系统的默认区域
firewall-cmd --get-default-zone查看当前区域设置的规则
firewall-cmd --list-all切换当前系统的默认区域
firewall-cmd --set-default-zoneblock
firewall-cmd --set-default-zonedrop查看区域内允许访问的服务
firewall-cmd --list-service
firewall-cmd --list-services
#两个都行效果一样修改区域默认使用的网络设备
firewall-cmd --zonepublic --change-interfaceens36
firewall-cmd --zonehome --remove-interfaceens36添加服务到默认域中
firewall-cmd --add-servicehttp --zonepublic多个服务永久添加
firewall-cmd --add-service{ftp,nfs,http} --zonepublic --permanent
#--permanent 永久添加删除服务
firewall-cmd --remove-servicehttp --zonepublic重新加载
firewall-cmd --reload端口管理
firewall-cmd --zonepulic --add-port80/tcp 添加端口
firewall-cmd --zonepulic --add-port80/tcp --permanent 永久生效
fierwall-cmd --add-source192.168.233.20 添加源地址
添加端口到默认域中
firewall-cmd --zonepublic --add-port80/tcp添加端口并指定协议端口在前协议在后用 / 分割
firewall-cmd --zonepublic --add-port{80,21,3306,22}/tcp删除端口
firewall-cmd --zonepublic --remove-port80/tcp添加源IP
firewall-cmd --zoneblock --add-source192.168.233.20
firewall-cmd --get-active-zone
