SNAT和DNAT

一、SNAT的策略及應(yīng)用：

1.SNAT：

（1）定義：又稱源地址轉(zhuǎn)換。源地址轉(zhuǎn)換是內(nèi)網(wǎng)地址向外訪問(wèn)時(shí)，發(fā)起訪問(wèn)的內(nèi)網(wǎng)ip地址轉(zhuǎn)換為指定的ip地址（可指定具體的服務(wù)以及相應(yīng)的端口或端口范圍），這可以使內(nèi)網(wǎng)中使用保留ip地址的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)，即內(nèi)網(wǎng)的多部主機(jī)可以通過(guò)一個(gè)有效的公網(wǎng)ip地址訪問(wèn)外部網(wǎng)絡(luò)。

（2）作用：就是把內(nèi)網(wǎng)地址轉(zhuǎn)成指定的IP地址，這個(gè)iP地址可以訪問(wèn)公網(wǎng)。

2.DNAT：

目的地址轉(zhuǎn)換的作用是將一組本地內(nèi)部的地址映射到一組全球地址。通常來(lái)說(shuō)，合法地址的數(shù)量比起本地內(nèi)部的地址數(shù)量來(lái)要少得多。私網(wǎng)地址只能作為源地址來(lái)訪問(wèn)公網(wǎng)IP，而無(wú)法作為目標(biāo)地址被其他主機(jī)訪問(wèn)，所以DNAT將私網(wǎng)中web服務(wù)器映射到公網(wǎng)IP，使其公網(wǎng)IP作為目標(biāo)地址被公網(wǎng)中主機(jī)進(jìn)行訪問(wèn)。

3.SNAT實(shí)驗(yàn)環(huán)境準(zhǔn)備：

（1）準(zhǔn)備：

三臺(tái)服務(wù)器：PC1客戶端、PC2網(wǎng)關(guān)、PC3服務(wù)端。

硬件要求：PC1和PC3均只需一塊網(wǎng)卡、PC2需要2塊網(wǎng)卡

網(wǎng)絡(luò)模式要求：PC1為NAT模式、PC2中作為PC1網(wǎng)關(guān)的網(wǎng)卡為NAT模式、作為PC3網(wǎng)關(guān)的網(wǎng)卡為僅主機(jī)模式、PC3為僅主機(jī)模式。

IP地址要求：
PC1為192.168.174.12/24–網(wǎng)關(guān)為192.168.174.12
PC2網(wǎng)關(guān)的ens33網(wǎng)卡地址為192.168.174.13–網(wǎng)關(guān)為192.168.174.12、ens36為12.0.0.254/24–不需要網(wǎng)關(guān)、
PC3為12.0.0.100/24–網(wǎng)關(guān)為12.0.0.254

1.[root@test1 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33 #修改pc1配置
IPADDR=192.168.174.12
NETMASK=255.255.255.0
GATEWAY=192.168.174.12
#DNS1=8.8.8.8 #注釋DNS域名解析
更改pc2配置：
2.[root@test2 ~]# vim /etc/sysconfig/network-script/ifcfg-ens33
IPADDR=192.168.174.13
Netmask=255.255.255.0
Gateway=192.168.174.12
#DNS1=8.8.8.8 #注釋DNS解析
cp /etc/sysconfig/network-script/ifcfg-ens33  /etc/sysconfig/network-script/ifcfg-ens36
#復(fù)制ens33配置文件給ens36網(wǎng)卡，新增網(wǎng)卡不會(huì)有配置文件
ens36配置文件修改：將UUID此行刪除，修改ip和網(wǎng)關(guān)
IPADDR=12.0.0.254
NETMASK=255.255.255.0開(kāi)啟PC2網(wǎng)關(guān)服務(wù)器的路由轉(zhuǎn)發(fā)功能，重啟網(wǎng)卡。
[root@test2 ~]# vim /etc/sysctl.conf
添加內(nèi)容：
net.ipv4.ip_forward=1
[root@www network-scripts]# sysctl -p #使之生效
net.ipv4.ip_forward = 1iptables -t nat -A POSTROUTING -s 192.168.174.0/24 -o ens36 -j SNAT --to 10.0.0.10

4.DNAT實(shí)驗(yàn)：

在SNAT 的基礎(chǔ)上給test1做一個(gè)http的內(nèi)網(wǎng)映射訪問(wèn)。

1.[root@test1 ~]# iptables -t nat -A PREROUTING -d 12.0.0.254 -i ens36 -p tcp  --dport 80 -j DNAT --to 192.168.174.12:80
[root@test1 opt]# tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 192.168.174.0/24 -w ./target.cap
[root@test1 opt]# tcpdump -i ens33  -s0 -w  ./ens33.cap #進(jìn)行動(dòng)態(tài)抓包