linux系统之iptables其三NAT的用法
2014-04-02 20:56
453 查看
温馨提示:
在之前己经介绍过iptables的原理及其基本命令的注解与用法,下面将介绍NAT技术。
前言:
从根本上来说,NAT就是允许一台或者多台机器共享一个公网IP地址;第一种情况,以内网为例,把这些机器的默认网关设置为 NAT服务器后,这样所有的报文都会通过网关发送出去(SNAT),还有一种情况,如果我们内网有多个对外网的服务器,基于节约IP地址资源的考虑也可以使用的NAT技术,将内网中的多个服务器给外网用户提供服务(DNAT).
一、NAT之SNAT
NAT服务器能够改变报文的源和目的地址成另外一个不同的地址。NAT 服务器接收到一个报文,接着就改写它的源/目的地址,其次在重新计算这个报文的校验和。其中很重要的一个用途就是源地址NAT(SNAT),源地址NAT其实就是解决只有一个公网 IP,但是有多台计机器需要上网,这样我们就打开SNAT功能,这样内网中多台计算机就能够共享这一个公网IP 地址上网了。(如图,下图如引起您的各种不适,与本人无关)
![](http://s3.51cto.com/wyfs02/M02/23/7C/wKioL1M3-YqSetzMAAOm-cmMAmo312.jpg)
注:另外一个 SNAT 就是伪装(Masquerade),它主要应用于动态地址分配的场合,对于MASQUERADE它会自动用出接口上面的地址作为报文新地址。
上图注解
注:
如果是动态获取公网IP,可使用(Masquerade)
#iptables -t nat -I POSTROUTING -s 192.168.1.0/24 --dport 80 -o eth1 -j MASQUERADE
二、NAT之DNAT
DNAT 在我们假设自己的服务器时候特别有用。首先它能够帮助我们节约 IP 地址(多台服务器共享一个IP),其次在 NAT 服务器和实际的服务器之间相当于增加了一个防护体系,增强了服务器的安全系数。例如一些公司可能对外网运行 web 和 ftp 服务器,他们可能在同一台机器上面,也有可能是物理上分开的机器,这样就可以借助DNAT,通过同一个IP提供上述的所有服务。(如图)
![](http://s3.51cto.com/wyfs02/M00/23/7E/wKioL1M4K5aDVuiZAAPQzqfQlJA295.jpg)
上图注解
=======================================完=========================================
本文出自 “和风细雨” 博客,请务必保留此出处http://essun.blog.51cto.com/721033/1389294
在之前己经介绍过iptables的原理及其基本命令的注解与用法,下面将介绍NAT技术。
前言:
从根本上来说,NAT就是允许一台或者多台机器共享一个公网IP地址;第一种情况,以内网为例,把这些机器的默认网关设置为 NAT服务器后,这样所有的报文都会通过网关发送出去(SNAT),还有一种情况,如果我们内网有多个对外网的服务器,基于节约IP地址资源的考虑也可以使用的NAT技术,将内网中的多个服务器给外网用户提供服务(DNAT).
一、NAT之SNAT
NAT服务器能够改变报文的源和目的地址成另外一个不同的地址。NAT 服务器接收到一个报文,接着就改写它的源/目的地址,其次在重新计算这个报文的校验和。其中很重要的一个用途就是源地址NAT(SNAT),源地址NAT其实就是解决只有一个公网 IP,但是有多台计机器需要上网,这样我们就打开SNAT功能,这样内网中多台计算机就能够共享这一个公网IP 地址上网了。(如图,下图如引起您的各种不适,与本人无关)
![](http://s3.51cto.com/wyfs02/M02/23/7C/wKioL1M3-YqSetzMAAOm-cmMAmo312.jpg)
注:另外一个 SNAT 就是伪装(Masquerade),它主要应用于动态地址分配的场合,对于MASQUERADE它会自动用出接口上面的地址作为报文新地址。
上图注解
源地址 | 192.168.1.20 |
目标地址 | www.essun.org |
规则 | #echo 1 >/proc/sys/net/ipv4/ip_forward(临时启用转发) #sysctl -p #iptables -t nat -I POSTROUTING -s 192.168.1.0/24 --dport 80 -j SNAT --to-source 202.106.32.132 |
如果是动态获取公网IP,可使用(Masquerade)
#iptables -t nat -I POSTROUTING -s 192.168.1.0/24 --dport 80 -o eth1 -j MASQUERADE
二、NAT之DNAT
DNAT 在我们假设自己的服务器时候特别有用。首先它能够帮助我们节约 IP 地址(多台服务器共享一个IP),其次在 NAT 服务器和实际的服务器之间相当于增加了一个防护体系,增强了服务器的安全系数。例如一些公司可能对外网运行 web 和 ftp 服务器,他们可能在同一台机器上面,也有可能是物理上分开的机器,这样就可以借助DNAT,通过同一个IP提供上述的所有服务。(如图)
![](http://s3.51cto.com/wyfs02/M00/23/7E/wKioL1M4K5aDVuiZAAPQzqfQlJA295.jpg)
上图注解
目地地址 | 202.106.32.132 |
源地址 | 6.6.6.6 |
规则 | #echo 1 >/proc/sys/net/ipv4/ip_forward(临时启用转发)#sysctl -p#iptables -t nat -A PREROUTING -d 202.106.32.132 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.20:80 |
本文出自 “和风细雨” 博客,请务必保留此出处http://essun.blog.51cto.com/721033/1389294
相关文章推荐
- gcc编译器相关
- Linux系统的机器上查看MBR数据 (续)
- 解决:kali linux 在vmware 虚拟机中使用bridge模式上网的问题
- linux内核源码结构
- linux中TFTP配置
- Linux常用快捷键
- Linux netstat命令详解
- 基于busybox搭建功能完善的小型linux(一)
- Centos6.5 安装JDK
- linux sort,uniq,cut,wc命令详解
- 红黑树(三)之 Linux内核中红黑树的经典实现
- 配置jdk路径 linux
- linux awk编程入门
- [Linux内存]linux内存学习(二)——分段和分页
- Linux下安装eclipse
- Linux 系统下vi和vim编辑器的使用
- Linux下高并发socket最大连接数所受的各种限制
- Linux下创建、打开、写入文件操作
- Linux压缩文件的读取
- linux常用命令