iptables之SNAT与DNAT

一、SNAT原理及应用

1.概述

SNAT的典型应用环境：

• 局域网主机共享单个公网IP地址接入Internet。（私有IP不能在Internet中正常路由）

SNAT策略的原理：

• 源地址转换，Source Network Address Translation
• 修改数据包的源地址

SNAT源地址转换过程：

• 数据包从内网发送到公网时，SNAT会把数据包的源地址由私网IP转换成公网IP。
• 当相应的数据包从公网发送到内网时，会把数据包的目的地址由公网IP转换为私网IP。
• 当内网有多台主机访问外网时，SNAT在转换时会自动分配端口，不同内网主机会通过端口号进行区分。

小贴士：

一个IP地址做SNAT转换，一般可以让内网100到200台主机实现上网。

2.SNAT策略的配置

2.1 SNAT转换前提条件

1. 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2. Linux网关开启IP路由转发

2.2 Linux网关开启IP路由转发

1、临时开启：

 echo 1 > /proc/sys/net/ipv4/ip_forward
 或
 sysctl -w net.ipv4.ip_forward=1

2、永久开启：

 vim /etc/sysctl.conf
 net.ipv4.ip_forward=1    #将此行写入配置文件
 ​
 sysctl -p     #读取修改后的配置

2.3 SNAT转换1：固定的公网IP地址

 #配置SNAT策略，实现SNAT功能，将所有192.168.72.0这个网段内的ip的源地址改为12.0.0.2
 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2      
 或
 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to-source 12.0.0.2-12.0.0.10
 ​
 #-A POSTROUTING  指定POSTROUTING链
 #-s 192.168.72.0/24  源地址所处的网段（内网IP）
 #-o ens33  出站网卡
 #-j SNAT
 #--to 12.0.0.2   外网IP
 #--to-source 12.0.0.2-12.0.0.10   外网地址池

2.4 SNAT转换2：非固定的公网IP地址(共享动态IP地址)

 iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADE

二、DNAT原理及应用

服务器一般不会暴露在公网中，极易被人攻击。服务器一般使用内网IP，所以访问服务器时需要进行目标地址转换。

DNAT策略的应用环境：

• 在Internet中发布位于企业局域网内的服务器

DNAT策略的原理：

• 目标地址转换，Destination Network Address Translation
• 修改数据包的目标地址

DNAT源地址转换过程：

• 数据包从外网发送到内网时，DNAT会把数据包的目标地址由公网IP转换成私网IP。
• 当相应的数据包从内网发送到公网时，会把数据包的源地址由私网IP转换为公网IP。

小贴士：

• 客户机想访问服务器时，访问的是网关地址，由网关去找服务器的内网地址。
• 如果多台服务器使用同一个网关，那么通过不同的端口号来对应不同的服务器。

1.DNAT策略的配置

2.DNAT转换前提条件

1. 局域网的服务器能够访问Internet
2. 网关的外网地址有正确的DNS解析记录
3. Linux网关开启IP路由转发

 vim /etc/sysctl.conf
 net.ipv4.ip_forward=1    #将此行写入配置文件
 ​
 sysctl -p     #读取修改后的配置

3.DNAT转换1：发布内网的Web服务

 #把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.72.10
 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.102
 或
 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10-192.168.72.20
 ​
 #-A PREROUTING        //修改目标地址的链           
 #-i ens33             //入站网卡
 #-d 12.0.0.254        //数据包的目的地址
 #-p tcp --dport 80    //数据包的目的端口
 #-j DNAT              //使用DNAT功能
 #--to 192.168.109.11  //内网服务器IP

4.DNAT转换2：发布时修改目标端口

 #将公网的IP和端口，转换成内网的IP和端口
 ​
 #发布局域网内部的web服务器，外网主机需使用8080端口进行连接
 #将12.0.0.254:8080 转换成 192.168.72.10:80
 iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 8080 -j DNAT --to 192.168.72.10:80
 ​
 #发布局域网内部的OpenSSH服务器， 外网主机需使用250端口进行连接
 #将12.0.0.254:250 转换成 192.168.72.10:22
 iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 250 -j DNAT --to 192.168.72.10:22

三、防火墙规则的备份和还原

防火墙规则的备份和还原，即将iptables四表五链中的规则进行导出和导入。

1.规则的自动备份和加载

iptables有一个默认备份文件 /etc/sysconfig/iptables ，iptables服务在每次重启后会自动加载该文件。

 #将iptables规则文件保存在 /etc/sysconfig/iptables，iptables服务启动时会自动还原规则。
 iptables-save >  /etc/sysconfig/iptables
 systemctl stop iptables   #停止iptables服务会清空掉所有表的规则
 systemctl start iptables  #启动iptables服务会自动还原/etc/sysconfig/iptables中的规则

2.手动备份和还原

自动备份并加载，只能还原最新的防火墙规则。

如果手动备份，例如每天生成一个以日期为名称的备份文件，那么在还原时可以有选择地进行还原。比如选择上个月某一天的规则文件进行导入还原。

1、导出（备份）所有表的规则

 iptables-save > /opt/ipt.txt

2、导入（还原）规则

 iptables-restore < /opt/ipt.txt 

四、tcpdump—Linux抓包

wireshark 抓包工具只在windows中使用。

tcpdump 可以在Linux系统中使用。

 tcpdump tcp -i ens33 -t -s 0 -c 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap

（1）tcp∶ ip、icmp、arp、rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。

（2）-i ens33 ：只抓经过接口ens33的包。

（3）-t：不显示时间戳

（4）-s 0 ：抓取数据包时默认抓取长度为68字节。加上"-s 0"后可以抓到完整的数据包。

（5）-c 100 ：只抓取100个数据包。

（6）dst port ! 22 ：不抓取目标端口是22的数据包。

（7）src net 192.168.1.0/24 ：数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机。

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析。