NAT转换技术(SNAT、MASQUERADE、DNAT策略)及代理服务(squid服务)
NAT地址转换技术
一、NAT网络拓扑图
二、实验环境
本次实验均是在 RHEL6.5 虚拟机上进行的。
- WEB-内网(Client)IP地址:192.168.10.150 (VMnet1)
- 网关 eth1的IP地址:192.168.10.1(VMnet1)
- eth2的IP地址:202.100.10.1(VMnet8)
- WEB-外网(Client)IP地址:202.100.10.10 (VMnet8)
三、实验目的
使用不同的策略实现内外网的相互访问
- SNAT、MASQUERADE(地址伪装策略):解决内网访问互联网
- DNAT:实现Internet中的客户机访问局域网内的web服务器
四、实验步骤
一)前期准备
分别配置好web内网(Client)、网关、web外网(Client)的IP,关闭防火墙和selinux服务,并测试内外网的连通性。
1、配置WEB内网(Client)
2、配置网关
2.1 配置网卡eth1,网络适配器为VMnet1
2.2 配置网卡eth2,网络适配器为VMnet8
2.3 开启网关的路由转发功能
3、配置WEB外网(Client)
4、测试内外网的连通性
二)SNAT策略
SNAT:局域网主机共享单个公网IP地址接入Internet
SNAT策略的原理:修改数据包的源IP地址
1、修改web内网上的http服务器的访问页面
2、在web内网客户机上访问http://202.100.10.10,访问失败
3、在外网http服务器上查看访问日志
4、在网关添加使用SNAT策略的防火墙规则
5、再次在web内网客户机上访问http://202.100.10.10,访问成功
6、在外网http服务器上查看访问日志
三)MASQUERADE(地址伪装)策略应用
在某些情况下,网关的外网IP地址可能并不是固定的,例如使用ADSL宽带接入时。那么在这种网络环境下,应该如何设置SNAT策略呢?针对这种需求,iptables提供了一个名为MASQUERADE(伪装)的数据包控制类型,MASQUERADE 相当于SNAT的一个特例,同样用来修改(伪装)数据包源IP地址,只不过它能够自动获取外网接口的IP地址,而无需使用 ' —to-source ' 指定固定的IP地址。
MASQUERADE是被专门设计用于那些动态获取IP地址的连接的,比如,拨号上网、DHCP连接等。如果你有固定的IP地址,还是用SNAT 策略吧。
1、在网关添加 MASQUERADE策略 的防火墙规则(在下面例子中,' -o ' 指定的仍是外网接口eth2)
2、在WEB-内网访问WEB-外网,访问成功,并在WEB-外网服务端查看httpd日志
3、查看防火墙策略
四)DNAT策略 — 实现公网访问私网
1、在Internet中的客户机上访问202.100.10.1,访问失败。
2、在网关中使用DNAT策略发布内网服务器
3、启用内网服务器的http服务
4、再次在Internet中的客户机上访问202.100.10.1,访问成功。
5、在内网服务器上查看访问日志
6、查看防火墙规则
代理服务
代理(英语:Proxy),也称网络代理,是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全,防止攻击。
提供代理服务的电脑系统或其它类型的网络终端称为代理服务器(英文:Proxy Server)。一个完整的代理请求过程为:客户端首先与代理服务器创建连接,接着根据代理服务器所使用的代理协议,请求对目标服务器创建连接、或者获得目标服务器的指定资源(如:文件)。
代理服务分为正向代理和反向代理。正向代理是内网访问外网,分为传统代理(默认)和透明代理。传统代理需在客户端上设置浏览器;透明代理不需要设置浏览器,但需要在网关上写一条iptables 策略。反向代理是外网访问内网。
正向代理服务
一、传统代理
1、配置代理服务器
1.1 在网关(代理服务器)上安装squid服务
1.2 修改squid的配置文件
1.3 启用squid服务
2、在WEB-内网(Client)浏览器上配置代理服务
“火狐浏览器”—> “编辑”—>“首选项”—>“高级”—>“网络”—>“连接” 设置
3、在WEB-内网Client访问WEB-外网,访问成功。
4、在WEB-外网查看httpd访问日志
由httpd日志可以看出,此数据包由网关外网接口发出,故源IP为网关外网接口所对应的IP地址
5、关闭squid服务,再次在WEB-内网Client访问WEB-外网,访问失败。
注:访问失败的记录,不会写入WEB-外网的httpd日志中去。
二、透明代理
1、在网关上设置透明代理
2、在网关上设置防火墙规则
3、在WEB-内网Client上将浏览器的连接设置为“无代理”,访问WEB-外网,访问成功。
4、关闭squid服务,再次在WEB-内网Client上访问WEB-外网,访问失败。
NAT转换技术(SNAT、MASQUERADE、DNAT策略)及代理服务(squid服务)相关推荐
- 防火墙——SNAT和DNAT策略的原理及应用、防火墙规则的备份和还原
防火墙--SNAT和DNAT策略的原理及应用.防火墙规则的备份和还原 一.SNAT策略概述 SNAT(Source Network Address Translation,源地址转换)是Linux防火 ...
- lqc_使用SNAT、DNAT策略实现网关应用
使用SNAT.DNAT策略实现网关应用 实验环境: 某公司使用双网卡linux主机作为网关服务器,其中网卡eth1连接局域网,网卡eth0通过光纤接入internet,由于只注册了一个公网IP地址,要 ...
- iptables防火墙之SNAT、DNAT策略及应用
目录 一.SNAT原理及应用 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 实现方法 1.4.1 编写SNAT转换规则 1.4.2 路由转发开启方式 SNAT转 ...
- SNAT与DNAT策略
1.SNAT策略及应用 SNAT策略的典型应用环境 局域网主机共享单个公网IP地址接入Internet SNAT策略的原理 源地址转换,Source Network Address Translati ...
- Nat学习(sNat和dNat)
SNAT学习 SNAT实验 对于动态的公网IP ,采用如下方式 DNAT转化思路 DNAT实验 防火墙数据包流向
- iptables 防火墙中的SNAT和DNAT
目录 前言 一.SNAT策略 1.1 SNAT应用环境 1.2 SNAT原理 1.3 SNAT转换前提条件 1.4 SNAT转换流程 1.4 SNAT 应用 1.4.1 临时打开 1.4.2 永久打开 ...
- NAT转换+动态路由
NAT转换技术+动态路由 NAT概述 NAT配置命令 动态路由 RIP RIP配置命令 OSPF NAT概述 NAT(Network Address Translation):网络地址转换技术: NA ...
- NAT、SNAT、DNAT
一.linux里存放dns服务器ip地址的配置文件 [root@slave-mysql ~]# vim /etc/resolv.conf -->存放dns服务器ip地址的,真正我们进行域名查询的 ...
- NAT的两种模式SNAT和DNAT介绍
NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程.在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能 ...
最新文章
- 开发日记-20190821 关键词 读书笔记《掌控习惯》DAY 1
- [密码学] 复杂性理论基础
- Sum of Log(2020上海C)
- 字符串匹配(KMP 算法 含代码)
- linux apache 大文件,Apache下error.log文件太大的处理方法
- vue $ 符号(例如vm.$data vs vm.data):读取实例属性 vs 读取 data 数据
- Windows10系统破解多用户同时远程登陆
- Android手机投屏利器scrcpy
- java实现输入数字 输出金额_JAVA实现数字大写金额转换的方法
- 韩信点兵问题(中国剩余定理)
- COOC6.2增加同义词合并无意义词删除等功能
- 「异业联盟」如何打造让会员感兴趣的会员?
- 一段很现实的话适合发朋友圈文案
- 计算机安全模式win7,Win7如何进入计算机安全模式?
- WGCLOUD和ZABBIX有什么不一样
- 前端 HTML(1)
- javaweb条形码产生、打印、扫描
- 前端常用的几种加密方法
- jeesite框架学习
- 面试时回答离职原因的万能公式是什么?