配置SNAT实现共享上网

最新推荐文章于 2024-02-17 19:26:10 发布
原创 最新推荐文章于 2024-02-17 19:26:10 发布 · 479 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

该案例通过在Linux网关上配置SNAT策略,搭建了局域网-Linux网关-互联网环境,实现了局域网主机共享上网。首先,停用iptables服务并调整网络设置,然后在网关上添加SNAT转换规则,将内网192.168.4.0/24的数据包源IP改为网关的外网IP,使得内网主机能够访问外网。最后,通过MASQUERADE伪装策略进一步优化SNAT,确保共享上网功能正常工作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  • 问题

本案例要求熟悉SNAT策略的典型应用场景,完成以下任务:

  1. 搭建一套“局域网-Linux网关-互联网”的案例环境
  2. 在Linux网关上配置SNAT策略,实现局域网主机的共享上网
  3. 修改现有的SNAT策略,验证MASQUERAD伪装的有效性
  • 方案

采用三台RHEL6虚拟机svr5gw1pc120,如图-2所示其中虚拟机svr5作为局域网络的测试机,接入NAT网络virbr0);虚拟机pc120作为Internet的测试机,接入隔离网络(virbr1);虚拟机gw1作为网关/路由器,配置eth0eth1两块网卡分别接入两个网络virbr0virbr1

图-2

内网测试机svr5还需要将默认网关指向Linux网关的内网接口192.168.4.1:

[root@svr5 ~]# route -n | grep UG

0.0.0.0         192.168.4.1     0.0.0.0         UG    0      0        0 eth0

网关gw1上开启路由转发:

[root@gw1 ~]# vim  /etc/sysctl.conf

net.ipv4.ip_forward = 1

[root@gw1 ~]# sysctl -p

net.ipv4.ip_forward = 1

.. ..

  • 步骤

实现此案例需要按照如下步骤进行。

步骤一:搭建一套基于“局域网-Linux网关-互联网”的案例环境

沿用练习一的环境,稍作调整。

停用虚拟机svr5、gw1、pc120上的iptables服务,清空防火墙规则:

[root@gw1 ~]# service iptables stop

iptables:将链设置为政策 ACCEPT:filter                    [确定]

iptables:清除防火墙规则:                                 [确定]

iptables:正在卸载模块:                                   [确定]

去掉外网测试机pc120的路由设置:

[root@pc120 ~]# route del default gw 174.16.16.1

[root@pc120 ~]# route -n

Kernel IP routing table

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface

174.16.16.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

步骤二:在Linux网关上配置SNAT策略,实现局域网主机的共享上网

1)在网关启用SNAT转换之前,内网无法访问外网

比如从内网机svr5尝试访问外网机pc120时,因为pc120缺少到svr5所在私网网段的路由记录,所以访问会失败。这个与正常的互联网寻址情况是相吻合的,即私网地址不在互联网中路由。

使用elinks测试Web访问的情况如下:

[root@svr5 ~]# elinks --dump http://174.16.16.120

.. .. 

^C  //长时间无响应,按Ctrl+c键中止

[root@svr5 ~]#

2)在gw1上添加SNAT转换规则

添加的规则应该在nat表内,将来自局域网段192.168.4.0/24、将要从外网接口eth1出去的数据包,在路由选择之后将数据包的源IP地址修改为网关gw1的外网接口的IP地址174.16.16.120:

[root@gw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j SNAT --to-source 174.16.16.1

 

[root@gw1 ~]# iptables -t nat -nL POSTROUTING

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

SNAT       all  --  192.168.4.0/24       0.0.0.0/0           to:174.16.16.1

3)再次测试从内网访问外网

从内网机svr5上访问外网机pc120的网站,可以成功看到网页:

[root@svr5 ~]# elinks --dump http://174.16.16.120

   Test Page 120.

但是在检查pc120的Web访问日志时可以看到来访的客户机地址其实是网关gw1的外网地址,说明网关已经通过SNAT规则把Web请求包的源地址192.168.4.5改成了174.16.16.1,实现了局域网主机共享网关的公网IP地址上网:

[root@pc120 ~]# tail -1 /var/log/httpd/access_log

174.16.16.1 - - [19/May/2015:14:14:05 +0800] "GET / HTTP/1.1" 200 15 "-" "ELinks/0.12pre5 (textmode; Linux; -)"

步骤三:修改现有的SNAT策略,验证MASQUERAD伪装的有效性

1) 确认网关gw1上现有的SNAT策略

[root@gw1 ~]# iptables -t nat -nL POSTROUTING

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination         

SNAT       all  --  192.168.4.0/24       0.0.0.0/0           to:174.16.16.1

2) 将网关gw1上的SNAT策略替换为MASQUERADE伪装策略

可以删除原策略,重新设置新策略,匹配条件与SNAT差不多,但是处理方式修改为MASQUERADE即可:

[root@gw1 ~]# iptables -t nat -D POSTROUTING 1

[root@gw1 ~]# iptables -t nat -A POSTROUTING -s 192.168.4.0/24 -o eth1 -j MASQUERADE

 

[root@gw1 ~]# iptables -t nat -nL POSTROUTING

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination

MASQUERADE  all  --  192.168.4.0/24       0.0.0.0/0

3)再次测试从内网访问外网

从内网机svr5上访问外网机pc120的网站,还是可以成功看到网页:

[root@svr5 ~]# elinks --dump http://174.16.16.120

 

配置SNAT实现共享上网: 搭建内外网案例环境 配置SNAT策略实现共享上网访问
彭淦淦的博客
04-23 1274
4.1 问题 本案例要求设置防火墙规则,允许位于局域网中的主机可以访问外网,主要包括下列服务: 搭建内外网案例环境 配置SNAT策略实现共享上网访问 4.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建内外网案例环境 表-4 实验拓扑 这里,我们设定192.168.2.0/24网络为外部网络,192.168.4.0/24为内部网络。 现在,在外部网络中有一台web服务器192.168....
iptables基本管理,配置SNAT实现共享上网
虫虫的博客
10-15 582
iptables基本管理 1.1 问题 本案例要求练习iptables命令的使用,按照要求完成以下任务: 关闭firewalld,开启iptables服务 查看防火墙规则 追加、插入防火墙规则 删除、清空防火墙规则 1.2 步骤 实现此案例需要按照如下步骤进行。 步骤一:关闭firewalld,启动iptables服务 1)关闭firewalld服务器 [root@proxy ~]# syste...
linux防火墙——SNAT配置
m0_65544268的博客
07-12 886
用于设置源地址转换(Source NAT)规则的命令。SNAT 是一种网络地址转换技术,它允许将一个网络数据包的源 IP 地址更改为另一个 IP 地址。简单来说,就是修改数据包中的源IP地址。
出接口snat配置配置恢复
liuzhuchen的专栏
03-12 993
系统启动调用脚本: oldeth=`sed -n '1,1p' /usr/config/.fit_snat_eth.conf`                                #oldeth先读取老的配置, if [ -z $oldeth ];then                                        #没有配置默认 oldeth=vlan409
LINUX 配置SNAT实现共享上网
LYJ_man的博客
05-31 1665
问题 本案例要求熟悉SNAT策略的典型应用场景,完成以下任务: 1)搭建一套“局域网-Linux网关-互联网”的案例环境 2)在Linux网关上配置SNAT策略,实现局域网主机的共享上网 3)修改现有的SNAT策略,验证MASQUERAD伪装的有效性 方案 采用三台RHEL6虚拟机svr5、gw1、pc120,如图-2所示。其中,虚拟机svr5作为局域网络的测试机,接入NAT网络(virbr0);...
配置SNAT实现共享上网2
LIGANG0704的博客
05-20 1079
 步骤 实现此案例需要按照如下步骤进行。 步骤一:搭建一套基于“局域网-Linux网关-互联网”的案例环境 沿用练习一的环境,稍作调整。 停用虚拟机svr5、gw1、pc120上的iptables服务,清空防火墙规则: [root@gw1 ~]# service iptables stop iptables:将链设置为政策 ACCEPT:filter [确定...
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 3229
计算机网络SNAT 和 DNAT 的详细配置步骤
防火墙 iptables(二)-------------SNAT与DNAT搭建
zzzxxx520369的博客
02-17 2166
内网主机通过网关服务器的SNAT转换实现访问外网不经过nat的地址为PC1(centos1)自己的地址,使用虚拟机环境才会出现这种情况,市场环境是不通的。经过nat之后的地址是公司的公网ip地址,由网关服务器iptables规则SNAT实现
配置 SNAT 和NAT
xo_zhang的专栏
05-07 7768
• 安全网络地址转换简介 • 创建SANT pool • 实施SNAT • 实施NAT • 管理SNAT 和NAT • SNAT 示例 安全网络地址转换简介 在 BIG-IP®本地流量管理(LTM)系统上配置的Real Server 可以将入 站数据包的目的地IP 地址转换为另一个目的地IP 地址,以便对该数据 包进行负载平衡。通常,源IP 地址保持不变。 此外,也可以创建安全
SNAT实现共享上网(1)
qq_41345380的博客
08-13 859
文章目录1 iptables基本管理关闭firewalld,启动iptables服务熟悉iptables框架2 filter过滤和转发控制iptables防火墙规则的条件主机型防火墙网络型防火墙禁ping的相关策略3 防火墙扩展(mac , multiport, iprange)根据MAC地址过滤基于多端口设置过滤规则根据IP地址范围设置规则4 配置SNAT实现共享上网搭建内外网案例环境设置防火墙规则,实现IP地址的伪装(SNAT源地址转换) firewalld底层还是调用包过滤防火墙iptables i
利用iptables的SNAT功能实现局域网共享上网
热门推荐
杂货铺的小掌柜
11-22 1万+
今天,碰到一个问题:局域网内有5台机器,只有一个公网IP。现在的需求是5台机器都要能够访问外网。这可怎么办呢?当然是使用SNAT了。话虽这么说,可是,在配置的时候,竟然折腾了半天!下面好好总结一下:情景介绍:局域网内的5台机器的IP地址分别是 192.168.180.121-node1 192.168.180.122-node2 192.168.180.123-node3 192.168.
iptables 防火墙(二)SNAT/DNAT
A1100886的博客
05-22 1248
SNAT:内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有IP转换为公网的公有IP,网关的这个地址转换称为SNAT,主要用于内部共享IP访问外部。
【linux防火墙】设置开启路由转发,SNAT和DNAT转换原理及应用实操,添加自定义链归类iptables规则
liu_xueyin的博客
11-30 1855
#指定是在filter下面去天剑WEB链,不写默认是filter第一步:先设置了WEB的两条策略,拒绝目标端口为8080,允许目标端口为80第二步:将其策略调用在filter的INPUT链中,作用到源ip为192.168.20.10的主机上第三步:测试主机可以访问80端口第四步:修改端口为8080,重启httpd服务后,测试另一台主机访问,不可以访问8080端口##修改httpd的端口以后重启服务##这是192.168.20.10主机生效拒绝连接##删除INPUT调用的自定义链WEB的策略。
配置SNAT实现局域网主机上网(亲测)
AI最前沿
01-14 798
如下图所示,局域网1中的服务器是可以访问外网的,由于种种原因局域网1内无法再新增主机了,只好新增局域网2。于是就出现这样一种需求,局域网2中的服务器器也要访问外网。怎么实现无外网的服务器借助有外网的服务器上网呢?看了很多博客,有的提到使用PPTP软件,试了下不行。经过一番尝试,发现其实最简单方法就是通过iptables一条命令就可以实现了。这是一个典型的SNAT场景,具体实现看下文。从局域网2中的任意一台服务器ping。能够ping 通说明配置成功。操作系统版本如下图所示。
内网通过snat访问外网
kerrysu2015的博客
04-28 3274
SNAT SNAT:设置内网的设备经过防火器(路由器等)接入到互联网时,按内网设备的不同IP地址、对应选择不同的外网接口 例如: 有两台服务器Server A(具有双网卡em1, em2), Server B,其中(proxy_ip和private_ip可以ping通): 1.  Server A:具有内网地址proxy_ip (proxy_nic=em1)和外网地址public_ip (
iptables防火墙——学会利用SNAT和DNAT 共享上网并发布内网服务器
ZXDNM_zwz的博客
12-29 2045
iptables 防火墙(二)
SNAT和DNAT配置
weixin_33786077的博客
02-05 517
一、SNAT可以解决如果只有一个公有地址而使全公司可以访问Internet,SNAT只能用在nat表的POSTROUTING链。配置SNAT环境如下:在内部地址和Internet配置网站在网关服务器添加两块网卡eth0:192.168.10.254 和eth1:172.16.1.254,并开启路由功能。在网关服务器上配置SNAT策略到internet测试机上查看日志,发现访问者不是192.168....
linux-防火墙-iptables 的四表五链和SNAT与DNAT详解(理论加实验)
BIGmustang的博客
08-02 1252
文章目录前言:一 . Liunx包过滤防火墙概述:1. Netiflter介绍2. iptables的表,链结构2.2 默认包括4个规则表二.数据包过滤的匹配流程:2.1规则表之间的顺序:2.2 规则链内的匹配顺序三. iptables 安装与命令使用3.1 iptables安装与关闭3.2 iptables的基本语法:3.3 查看规则列表:3.5规则的匹配条件:3.6常用的隐含匹配条件端口匹配:3.7 常用的显示匹配条件四 .SNAT与DNAT策略概述及实验4.1 SNAT 原理4.2 SNAT策略实验
iptables snat
最新发布
07-19
配置 `iptables` 实现 SNAT(源地址转换)主要涉及 `nat` 表中的 `POSTROUTING` 链,通过修改数据包的源地址,使局域网内的主机能够共享一个公网 IP 地址访问外部网络。 ### 配置 SNAT 的基本命令 以下是一个基本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值