SNAT： 源地址轉換，作用是將ip數(shù)據(jù)包的一個地址變成另外一個地址；

創(chuàng)新互聯(lián)堅持“要么做到，要么別承諾”的工作理念，服務領域包括：成都網站設計、做網站、企業(yè)官網、英文網站、手機端網站、網站推廣等服務，滿足客戶于互聯(lián)網時代的沁源網站設計、移動媒體設計的需求，幫助企業(yè)找到有效的互聯(lián)網解決方案。努力成為您成熟可靠的網絡建設合作伙伴！

A: 192.168.100.100          eth0       用戶

B: 192.168.100.1           eth0

 192.168.200.200          eth2       防火墻

C:  192.168.200.100        eth0       web容器

A------------------->C

A--------->B

      B------->C

A用戶，訪問C上的網站，SNAT轉化過程，A 首先訪問的是B，也就是防火情的192.168.100.1；然后，再通過防火墻的192.168.200.200訪問C網站；

配置過程如下：

1）A：配置eth0網關：192.168.100.1

2）B:  配置eth2網關： 192.168.200.1

注：suse下配置網卡的網關：route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先，B要開通路由轉發(fā)：

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次，配置防火墻，將A訪問C轉發(fā)為B訪問C，

即：    192.168.100.100----------------------------------------------->192.168.200.100

過程：192.168.100.100------------->192.168.200.200

                                                            192.168.200.200----------->192.168.200.100

iptables的路由規(guī)則：

-A POSTROUTING -s 192.168.100.100 -o eht0 -j SNAT --to-source 192.168.200.200

到這里，DNAT是設置完了；接下來是測試了

重啟防火墻，或者重新加載防火墻的配置文件： /etc/init.d/iptables reload

然后，抓包，看訪問過程

tcpdump -i any port 80 -s 0 -w 保存的包名

DNAT：將一組本地內部地址映射到一組全球內部地址；

A: 192.168.100.100           eth0       用戶

B: 192.168.100.1            eth0

 192.168.200.200          eth2       防火墻

C: 192.168.200.100         eth0       web容器

A------------------->B

A--------->B

      B------->C

A用戶，訪問B，SNAT轉化過程，A 訪問的B，也就是防火情的192.168.100.1；實際上訪問過程是，A 訪問的B，也就是防火情的192.168.100.1，后，防火墻B再通過192.168.200.200訪問192.168.200.100 C的web容器；

配置過程如下：

1）C：配置eth0網關：192.168.200.1

2）B:  配置

eth0網關： 192.168.100.1

eth2網關： 192.168.200.1

注：suse下配置網卡的網關：route add  – net 192.168.200.200 netmask 255.255.255.0 gw 192.168.200.1 dev eth2

首先，B要開通路由轉發(fā)：

grep forward /etc/sysctl.conf |grep -v ^#

net.ipv4.ip_forward = 1

其次，配置防火墻，將A訪問C轉發(fā)為B訪問C，

iptables -t nat -A     PREROUTING -d 192.168.100.1 -p tcp -m tcp --deport 80 -i eth0 -j DNAT --todestionation 192.168.200.100

重啟防火墻，或者重新加載防火墻的配置文件： /etc/init.d/iptables reload

然后，抓包，看訪問過程

tcpdump -i any port 80 -s 0 -w 保存的包名

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

標題名稱：防火墻DNAT與SNAT詳談-創(chuàng)新互聯(lián)
轉載注明：http://weahome.cn/article/ddhdhe.html