网络地址转换之SNAT和DNAT

最新推荐文章于 2025-07-16 18:47:43 发布
最新推荐文章于 2025-07-16 18:47:43 发布
阅读量687 收藏 3
点赞数 5
CC 4.0 BY-SA版权
文章标签: 网络 安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43583736/article/details/145160426

网络地址转换技术


SNAT(Source Network Address Translation,源网络地址转换)和 DNAT(Destination Network Address Translation,目的网络地址转换)是网络地址转换(NAT)技术中的两种主要类型,以下是关于它们的详细介绍:

SNAT

定义

SNAT 主要用于转换数据包的源 IP 地址。当内部网络中的主机向外部网络发送数据时,源 IP 地址会被转换为出口设备(如路由器、防火墙等)的公网 IP 地址或其他指定的 IP 地址。这样,外部网络看到的数据包来源就是转换后的 IP 地址,而不是内部主机的真实 IP 地址。

作用

  • 节省公网 IP 地址:内部网络通常有大量主机,但公网 IP 地址资源有限。通过 SNAT,多个内部主机可以共享一个或少量公网 IP 地址访问外部网络,有效解决了公网 IP 地址不足的问题。
  • 隐藏内部网络结构:外部网络只能看到转换后的公网 IP 地址,无法获取内部主机的真实 IP 地址和网络拓扑结构,增强了内部网络的安全性和隐私性。

工作原理

当内部主机发送数据包到外部网络时,数据包首先到达执行 SNAT 的设备。该设备会检查数据包的源 IP 地址,并根据配置的 SNAT 规则,将源 IP 地址替换为指定的公网 IP 地址,同时记录源 IP 地址与转换后 IP 地址的映射关系。当外部网络返回响应数据包时,设备根据映射关系将目的 IP 地址转换回内部主机的真实 IP 地址,然后将数据包转发给内部主机。

DNAT

定义

DNAT 用于转换数据包的目的 IP 地址。通常用于将外部网络对特定公网 IP 地址和端口的访问请求,转换为对内部网络中特定主机的相应请求,实现外部网络对内部服务器的访问。

作用

  • 发布内部服务:企业可以通过 DNAT 将内部服务器的服务(如 Web 服务、FTP 服务等)发布到外部网络,使外部用户能够通过公网 IP 地址访问内部服务器上的服务。
  • 负载均衡:可以将外部对某个公网 IP 地址和端口的访问请求,根据一定的算法分配到多个内部服务器上,实现负载均衡,提高服务的可用性和性能。

工作原理

当外部网络发送请求数据包到执行 DNAT 的设备时,设备会检查数据包的目的 IP 地址和端口号。根据配置的 DNAT 规则,将目的 IP 地址和端口号转换为内部服务器的真实 IP 地址和相应端口号,然后将数据包转发给内部服务器。内部服务器处理完请求后,将响应数据包发送回执行 DNAT 的设备,设备再将源 IP 地址转换为公网 IP 地址,发送给外部网络的请求者。

区别点SNATDNAT
转换对象源 IP 地址目的 IP 地址
应用场景内部网络访问外部网络时隐藏源 IP,共享公网 IP外部网络访问内部网络中的服务器时,将外部请求导向内部特定服务器
主要功能节省 IP 地址、保护内部网络隐私发布内部服务、实现负载均衡
minh_coo
关注
网络地址转换的两种模式:SNATDNAT网络通信的核心
网络技术联盟站
11-15 2781
SNATDNAT网络地址转换(NAT)的两种主要模式,它们在许多网络环境中都发挥着重要的作用。SNAT主要用于允许内部网络的主机通过一个公网IP地址访问互联网,而DNAT主要用于将外部网络的请求重定向到内部网络的特定主机。尽管SNATDNAT都可以提供一定程度的安全性,但它们并不能提供完全的安全保障。因此,我们应该将SNATDNAT作为网络安全策略的一部分,与其他安全措施(如防火墙入侵检测系统)一起使用。
防火墙——SNATDNAT策略的原理及应用、防火墙规则的备份、还原抓包
Linux运维老纪的博客
07-28 1257
Linux 防火墙在很多时候承担着连接企业内、外网的重任,除了提供数据包过滤功能以外,还提供一些基本的网关应用。本章将学习 Linux 防火墙的SNATDNAT 策略,分别掌握两个典型的应用:局域网共享一个公网 IP 地址接入 Internet;向 Internet 发布位于内网的应用服务器。本章还将学习防火墙脚本的使用。
iptables防火墙NAT网络地址转换SNATDNAT
weixin_47403076的博客
11-30 2207
NAT网络地址转换DNAT策略配置策略SNAT策略配置策略操作实例拓扑图操作流程web服务器配置防火墙配置验证效果 DNAT策略 原理:修改数据包中的目标IP地址 作用:将位于企业局域网中的服务器进行发布 配置在nat表中的PREROUTING链上 互联网主机想访问企业内部的web服务器,但服务器的地址是私有地址,无法直接访问。此时,客户机可以访问防火墙的公网地址,客户机的请求数据包到达防火墙后,在防火墙上将请求数据包的目标地址进行修改,并将数据包发送给服务器。 配置策略 iptables -t nat -
DNAT(目的地址转换) SNAT(源地址转换)
喝醉酒的小白
07-16 938
类型修改方向用途常用链SNAT源地址内网出网DNAT目标地址公网入内PREROUTINGSNAT 解决出网问题(“我是谁”)DNAT 解决入网问题(“你要找谁”)如你还需要图示说明(例如 DNATSNAT 网络路径图)、Kubernetes 中的 iptables 流程图、或用 ipvs/NFTables 替代方式,请告诉我,我可以继续扩展。
SNATDNAT
TTSuzuka的博客
11-02 1万+
局域网共享一个公网IP接入lnternel,好处如下保护内网用户安全,因为公网地址总有一些人恶意扫描,而内网地址在公网没有路由所以无法被扫描,能被扫描的只有防火墙这一台,这样就减少了被攻击的可能。Ipv4地址匮乏,很多公司只有一个ipv4地址,但是却有几百个用户需要上网,这个时候就需要使用SNAT。省钱,公网地址付费,使用SNAT只需要一个公网ip就可以满足几百人同时上网。向internel发布内网服务器,在内网中有服务器,如果想让公网用户访问有有两种方法。
SNATDNAT
qq_57093716的博客
02-18 2592
分离解析,你牛!
SNATDNAT
Ggggggggggu的博客
07-17 2001
SNAT应用环境局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由)SNAT原理源地址转换,根据指定条件修改数据包的源IP地址,通常被叫做源映射。net.ipv4.ip_forward=1#将此行写入配置文件。1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址。linxu想系统本身是没有转发功能只有路由发送数据。注还有一种方式静态路由,这个就比较麻烦。把源地址根据数据包的目的地址来做源映射。SNAT原理与应用..........
VMware之SNATDNAT.docx
01-03
在虚拟化领域,VMware 提供了一种强大的网络功能,即源网络地址转换(Source Network Address Translation,简称 SNAT目的网络地址转换(Destination Network Address Translation,简称 DNAT),这两种技术在...
iptables的SNATDNAT地址转换配置.pdf
07-11
iptables的SNATDNAT地址转换配置.pdf 学习资料 复习资料 教学资源
snatdnat的区别
热门推荐
jkwanga的博客
05-18 1万+
原理上来讲nat 前导:NAT(Network AddressTranslation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。(nat就是防火墙的nat表)实际上就是在,在系统上建立nat表,提供IP的映射转发的功能。 内核中数据包的传输过程:(图片来自网络) 当一个数据包进入网卡时,数据包首先进入PREROUTING链,内核根据数据包目的IP判断是否需要转送出去。 如果数据包就是进入本机的,数据包就会到达INPUT链。经INPUT链检查后,数据包被发往本地进程。本地进
1分钟了解DNATSNAT
撬锁不偷车
04-01 1522
DNAT(Destination Network Address Translation,目标网络地址转换SNAT(Source Network Address Translation,源网络地址转换)是两种在网络技术中使用的地址转换方法,它们都归属于网络地址转换(NAT)的范畴。在SNAT中,数据包的源IP地址会被转换成一个在公共网络中可路由的IP地址。在这种情况下,数据包的目的IP地址会被转换成私有网络中的目标地址。:SNAT发生在数据包离开内部网络时,而DNAT发生在数据包进入内部网络时。
Linux防火墙之--SNATDNAT
qq_51506982的博客
10-07 3961
当内网有多台主机访问外网时,SNAT在转换时会自动分配端口,不同内网主机会通过端口号进行区分。当相应的数据包从公网发送到内网时,会把数据包的目的地址由公网IP转换为私网IP。数据包从内网发送到公网时,SNAT会把数据包的源地址由私网IP转换成公网IP。firewall-cmd --list-all 查看。firewall-cmd --zone=指定区域。添加,浏览器20.0.0.10即可看到是否成功。2.给网关服务器添加一张虚拟网卡。查看区域内允许通过的服务。web端连接客户端测试。做SNAT的地址转换。
网络地址转换DNATSNAT的区别与应用
chenmuchen_的博客
07-10 5646
当数据包从外部网络传输到内部网络时,DNAT会将数据包中的目标IP地址端口号替换为内部网络中对应的IP地址端口号,以便正确地将数据包传递给内部主机。当数据包从内部网络传输到外部网络时,SNAT会将数据包中的源IP地址端口号替换为NAT设备所使用的公共IP地址端口号,以便在外部网络上进行传输响应。它们在实现内部网络与外部网络之间的通信时发挥着不同的作用。通过将内部网络中的私有IP地址端口号转换为可路由的公共IP地址端口号,使得内部网络的数据能够在Internet上进行传输,并获得正确的响应。
【学习笔记】SNAT & DNAT
知寒
05-13 1670
SNAT & DNAT 在计算机网络中,数据包如何发送是根据目标IP进行路由的。如果同一个网络中出现两个相同的IP,则ARP表会出现混乱,数据包发送到哪台主机上将变成不确定性,那怎么解决这个问题?答案很明显,就是让数据包从路由器发出去的时候变成不同的IP地址不就可以了。这个技术叫源地址转换技术,我们称之为SNAT。 为了简化模型,我们还是先假设路由器的WAN口接
iptables防火墙(二)——SNATDNAT
ver_mouth__的博客
05-11 1557
一:SNAT策略及应用 1.1SNAT应用环境SNAT策略的原理 1.1.1SNAT策略的典型应用环境 局域网主机共享单个公网ip地址接入internet 1.1.2SNAT策略的原理 源地址转换,Source Network Address Translation 修改数据包的源地址 1.1.3SNAT转换前提条件 ①局域网各主机已正确设置IP地址、子网掩码、默认网关地址 ②Linux网关开启IP路由转发 Linux想系统本身是没有转发功能,只能路由发送数据 临时打开: ech
路由器,DNAT, SNAT, 双向绑定 , 端口映射
HaiKing的专栏
02-09 479
例如,iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 203.0.113.0,这条命令将所有通过eth0接口发送到外部网络的数据包的源IP地址都替换为203.0.113.0。例如,外网用户访问路由器的公网IP的某个端口时,路由器将请求转发到内网的特定服务器。Translation,源网络地址转换):将内网用户的源地址转换为路由器的公网IP,以便内网用户能够访问外网。路由器中,NAT端口映射是NAT功能,一般是指数据流的源地址或目的地址进行转换。
conntrack 是可以看到SNATDNAT的转换吗
最新发布
08-23
<think>是的,`conntrack` 工具可以查看 SNAT (Source NAT) DNAT (Destination NAT) 的转换信息。 它通过读取 Linux 内核的连接跟踪表(`nf_conntrack` 模块)来显示网络连接的状态,包括 NAT 转换前后的地址端口。 ### 关键点: 1. **查看命令**: 使用 `conntrack -L` 可列出当前跟踪的连接,其中包含 NAT 转换信息。 例如: ```bash conntrack -L | grep '192.168.0.100' # 过滤特定IP ``` 2. **输出中的 NAT 信息**: - **DNAT 示例**: ``` original: src=1.1.1.1 dst=192.168.0.100 sport=80 dport=1234 reply: src=192.168.0.100 dst=1.1.1.1 sport=1234 dport=80 ``` 表示目标地址从 `192.168.0.100` 被转换(通常是 DNAT)。 - **SNAT 示例**: ``` original: src=192.168.3.101 dst=8.8.8.8 sport=5678 dport=53 reply: src=8.8.8.8 dst=203.0.113.1 sport=53 dport=5678 # 注意源IP被替换为公网IP ``` 表示源地址从 `192.168.3.101` 被转换为公网 IP(如 `203.0.113.1`)。 3. **实时监控**: `conntrack -E` 可实时监控连接状态变化,包括 NAT 转换事件。 §§相关问题§§ 1. 如何通过 `conntrack` 工具过滤特定协议的 NAT 转换记录? 2. 在连接跟踪表中,连接状态(如 `ESTABLISHED`、`NEW`)对 NAT 有何影响? 3. 为什么某些 SNAT/DNAT 规则在 `conntrack` 中无法查看到? 4. 如何清除 `conntrack` 表中的特定连接记录? 5. `conntrack` 与 `iptables` 的 NAT 表之间是如何协作的?</think>是的,`conntrack` 工具可以查看 SNAT(源地址转换) DNAT(目标地址转换)的转换信息。它通过读取 Linux 内核的连接跟踪表(`nf_conntrack`)来显示网络连接的状态 NAT 转换细节。 ### 关键说明: 1. **查看命令**: ```bash conntrack -L # 列出所有连接跟踪记录 conntrack -L -p tcp # 过滤特定协议 ``` 2. **输出中的 NAT 信息**: - **DNAT 示例**: ``` original: src=1.1.1.1 dst=192.168.0.100 sport=80 dport=1234 reply: src=192.168.0.100 dst=1.1.1.1 sport=1234 dport=80 [DNAT完成] ``` - **SNAT 示例**: ``` original: src=192.168.3.101 dst=8.8.8.8 sport=5678 dport=53 reply: src=8.8.8.8 dst=203.0.113.1 sport=53 dport=5678 [SNAT转换] ``` 3. **核心字段解读**: - `original`:显示原始请求(转换前) - `reply`:显示响应路径(转换后) - `[ASSURED]` 标记表示已确认的 NAT 转换 ### 注意事项: - 需加载 `nf_conntrack` 内核模块 - DNAT 通常在 `PREROUTING` 链处理 - SNAT 通常在 `POSTROUTING` 链处理 - 使用 `conntrack -E` 可实时监控 NAT 转换事件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值