一、SNAT
1、SNAT实验目的
公司内有2台机器，但是只有一个公网ip，利用SNAT技术实现2台私网地址都可以访问公网。

2、SNAT实验环境准备
①三台服务器：PC1客户端、PC2网关、PC3服务端。

②硬件要求：PC1和PC3均只需一块网卡、PC2需要2块网卡

③网络模式要求：PC1为NAT模式、PC2中作为PC1网关的网卡为NAT模式、作为PC3网关的网卡为仅主机模式、PC3为仅主机模式。

④IP地址要求：PC1为192.168.30.11/24--网关为192.168.30.12、PC2网关的ens33网卡地址为192.168.30.12/24--网关为192.168.30.12、ens36为12.0.0.254/24--不需要网关、PC3为12.0.0.100/24--网关为12.0.0.254

3、实验拓扑

4、实验步骤

①首先关闭三台机器的防火墙和selinux

三台机器全部执行：
systemctl stop firewalld
setenforce 0

②配置PC3服务端，安装httpd服务修改网卡ip为12.0.0.100/24--网关为12.0.0.254，重启网卡。

PC3执行：
vim /etc/sysconfig/network-script/ifcfg-ens33
文本添加内容：
IPADDR=12.0.0.100
NETMASK=255.255.255.0
GATEWAY=12.0.0.254

③配置PC1客户端，修改网卡ip为192.168.30.11/24---网关192.168.30.12，重启网卡。

PC1执行：
vim /etc/sysconfig/network-script/ifcfg-ens33
文本添加内容：
IPADDR=192.168.30.11
NETMASK=255.255.255.0
GATEWAY=192.168.30.12

④配置PC2网关服务器，首先配置ens33和ens36网卡的ip地址。

PC2执行：
vim /etc/sysconfig/network-script/ifcfg-ens33
文本添加内容：
IPADDR=192.168.30.12
NETMASK=255.255.255.0
GATEWAY=192.168.30.12

cp /etc/sysconfig/network-script/ifcfg-ens33 /etc/sysconfig/network-script/ifcfg-ens36
#复制ens33配置文件给ens36网卡，新增网卡不会有配置文件
ens36配置文件修改：将UUID此行删除，修改ip和网关
IPADDR=12.0.0.254
NETMASK=255.255.255.0

⑤开启PC2网关服务器的路由转发功能，重启网卡。

vim /etc/sysctl.conf
添加内容：
net.ipv4.ip_forward=1

⑥检测PC1、PC2、PC3三台机器之间是否互通(使用虚拟机做实验默认是互通的，是由于处在同一环境中，生产环境内网和外网没有SNAT的情况下是不通的)

⑦在PC1上curl 服务端ip，然后在服务端实时查看/var/log/httpd/access_log日志。可查看到源ip为PC1的ip，所以是未经过NAT的，生产环境中不可能直接curl通。

⑧在PC2中添加防火墙规则使得来源于192.168.30.0/24网段的所有从ens36网阿卡流出数据的ip全部NAT为12.0.0.254。然后再使用PC1去curl 服务端并在服务端实时查看日志。

PC2执行：
iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o ens36 -j SNAT --to 12.0.0.254
# -t nat 指定使用nat表
# -A POSTROUTING 添加在数据流出链，原因为在输出时添加只需要添加一次。
# -s 指定源ip
# -o 指定输出网卡为ens36时
# -j 指定跳转到SNAT处理
# --to 指定SNAT nat为12.0.0.254这个地址

5、实验结果
不经过nat的地址为pc1自己的地址，使用虚拟机环境才会出现这种情况，生成环境是不通的。

经过nat之后的地址是公司的公网ip地址，由网关服务器iptables规则SNAT实现。

二、DNAT
1、DNAT实验目的
为保护公司业务服务器安全，业务服务器在私网中，从公网访问的用户只能通过nat为业务服务器的私网网关地址才可访问。

2、DNAT实验环境准备
①三台服务器：PC1客户端、PC2网关、PC3服务端。

②硬件要求：PC1和PC3均只需一块网卡、PC2需要2块网卡

③网络模式要求：PC1为NAT模式、PC2中作为PC1网关的网卡为NAT模式、作为PC3网关的网卡为仅主机模式、PC3为仅主机模式。

④IP地址要求：PC1为192.168.30.11/24--网关为192.168.30.12、PC2网关的ens33网卡地址为192.168.30.12/24--网关为192.168.30.12、ens36为12.0.0.254/24--不需要网关、PC3为12.0.0.100/24--网关为12.0.0.254

3、实验拓扑

备注：PC1客户方做业务服务器，PC3服务端做公网用户。

4、实验步骤
①首先给三台机器做一个SNAT，原因是做DNAT之后内网的PC1需要通过SNAT给公网的用户返回数据包。

②在内网PC1上安装一个httpd服务并开启，作为内网的业务服务器。

③PC2网关服务器上配置DNAT规则。

PC2执行：
iptables -t nat -A PREROUTING -d 12.0.0.254 -i ens36 -p tcp --dport 80 -j DNAT --to 192.168.30.12
# 从ens36网卡进入的流量目的地址为12.0.0.254目的端口为80的tcp协议NAT处理为访问192.168.30.12
# -t nat 指定使用nat表
# -A PREROUINTG 添加在路由选择前数据进入链，在输入时直接判断。
# -d 指定目的ip
# -i 指定输出网卡为ens36时
# -p 指定协议为tcp协议

# --dport 指定目的端口为80
# -j 指定跳转到DNAT处理
# --to 指定DNAT nat到192.168.30.12这个地址

④实时查看PC1的/var/log/httpdd/access_log日志，使用PC3公网地址直接curl 内网的PC1，可以看到日志中源地址。

最新文章

1. 验证码点击刷新 this.src=this.src+'?'+Math.random()
2. Web Service 其他服务器检测不到查询测试按钮
3. SharePoint自动化系列——Site/Web/List级别的导航菜单
4. 移动端动画使用transform提升性能
5. 转 RMI、RPC、SOAP通信技术介绍及比对
6. 关系数据库&&NoSQL数据库
7. 中文字符集编码Unicode ,gb2312 , cp936 ,GBK,GB18030
8. CSS实现倒影-------Day80
9. 第一次测试HTML和CSS
10. Java中整形、浮点、字符之间的转换
11. ACE在Linux下编译安装
12. STM32的定时器定时时间计算（计数时间和中断定时时间）
13. apt-get update 更新 ubuntu时出现Hash sum mismatch的原因及解决方法
14. awk、sed、grep三大shell文本处理工具之sed的应用
15. 直接端口打印 支持USB接口的打印机吗？解决办法
16. [JavaScript] js获取当前页面url网址信息
17. MapReduce 学习(一)
18. 牛客国庆集训派对Day1 Solution
19. Java 代理模式（二） Java中的动态代理
20. 自己定义AlertDialog对话框布局

热门文章

1. 微机原理与系统设计笔记2 | 8086CPU结构与功能
2. 手把手教你图文并茂windows10安装VMware创建CentOS-7-x86_64运行linux系统
3. 案例：用ajax get方法 查询用户列表
4. Linux音频采集和在国产化平台中遇到的坑（一）
5. QtQuick使用MediaPlayer抓取摄像头影响报错Error: "Your GStreamer installation is missing a plug-in."
6. 干货满满的 Zookeeper 学习笔记
7. 12月23日内容总结——csrf跨站请求伪造、校验策略、相关装饰器，auth认证模块及相关操作，拓展auth_user表
8. 原生微信小程序跳转传参 : [非TabBar跳转传参] 和 [TabBar跳转传参]
9. CF1625D.Binary Spiders
10. 欧拉函数和遗忘自动机 SX 的故逝