用户名：西门飞冰
文章数：49
评论数：17
访问量：62550
注册日期：
阅读量：1297
阅读量：3317
阅读量：587374
阅读量：473888
51CTO推荐博文
SNAT和DNAT简介SNAT：局域网共享一个公网IP接入lnternel，好处如下1、保护内网用户安全，因为公网地址总有一些人恶意扫描，而内网地址在公网没有路由所以无法被扫描，能被扫描的只有防火墙这一台，这样就减少了被攻击的可能。2、Ipv4地址匮乏，很多公司只有一个ipv4地址，但是却有几百个用户需要上网，这个时候就需要使用SNAT。3、省钱，公网地址付费，使用SNAT只需要一个公网ip就可以满足几百人同时上网。DNAT：向internel发布内网服务器在内网中有服务器，如果想让公网用户访问有有两种方法。配置双网卡，一网卡对内，一网卡对外；一般是高访问量的web服务器，为了避免占用网关的流量才这样做，使用不是很广泛。内网web服务器，或是ftp服务器，为了用户在公网也可以访问，有不想买公网ip地址，采用DNAT方案。SNAT实现环境拓扑图：650) this.width=650;" src="/wyfs02/M02/6C/F4/wKioL1VYmQfyydSxAAHqRo1Aq8U796.jpg" alt="" border="0" />环境说明：系统环境主机名地址配置功能描述WEB服务器Centos6.6 64位WEB公网：eth0 1.1.1.1提供web页面，供用户访问iptables防火墙Centos6.6 64位iptables内网：eth0 172.16.4.1外网：eth1 1.1.1.2当有用户访问公网时，修改用户请求数据报的源地址为防火墙公网地址，实现SNAT功能。内网用户Centos6.6 64位LAN内网：172.16.4.100网关：172.16.4.1测试客户端，用来访问外网web服务器地址转换过程650) this.width=650;" src="/wyfs02/M00/6C/F9/wKiom1VYl5GBO6nQAAJK9WemRx0457.jpg" alt="" border="0" />实验过程前提条件：1、配置好ip地址，内网用户需要配置网关指向防火墙，保证防火墙可以ping通内网和外网。2、配置iptables开启路由转发功能，外网配置好web，保证内网可以访问。开启路由转发功能，实现内外网互相访问[root@iptables&~]#&vim&/etc/sysctl.conf
net.ipv4.ip_forward&=&1
[root@iptables&~]#&sysctl&-p
net.ipv4.ip_forward&=&1设置完成之后内网主机就可以ping通外网WEB服务器了[root@LAN&~]#&ping&1.1.1.1
PING&1.1.1.1&(1.1.1.1)&56(84)&bytes&of&data.
64&bytes&from&1.1.1.1:&icmp_seq=1&ttl=63&time=1.77ms
64&bytes&from&1.1.1.1:&icmp_seq=2&ttl=63&time=0.837ms公网web服务器配置测试页并启动服务[root@WEB&~]#&echo&"internet&WEB"&&/var/www/html/index.html
[root@WEB&~]#&service&httpd&start内网访问测试可以正常访问[root@LAN&~]#&curl&http://1.1.1.1
internet&WEB但是：从web服务器的日志分析，访问的地址是内网地址，由于是测试环境配置了路由，所以可以访问；如果是生存环境，由于web服务器没有内网的路由，所以内网客户端的请求到达web服务器后，无法回应。[root@WEB&~]#&tail&-1&/var/log/httpd/access_log
172.16.4.100&-&-&[23/Apr/:53&+0800]"GET&/&HTTP/1.1"&200&13&"-"&"curl/7.19.7&(x86_64-redhat-linux-gnu)libcurl/7.19.7&NSS/3.15.3&zlib/1.2.3&libidn/1.18&libssh2/1.4.2"IPTABLES配置SNAT配置SNAT将172.16.0.0网络所有主机只要通过防火墙上网就做源地址修改，将源地址修改为1.1.1.2。iptables&-t&nat&-A&POSTROUTING&-s&172.16.0.0/16&-oeth1&-j&SNAT&--to-source&1.1.1.2内网访问公网web服务器[root@LAN&~]#&curl&http://1.1.1.1
internet&WEB查看公网服务器日志显示是防火墙外网ip地址访问的，说明SNAT配置成功。[root@WEB&~]#&tail&-1&/var/log/httpd/access_log
1.1.1.2&-&-&[23/Apr/:33&+0800]&"GET/&HTTP/1.1"&200&13&"lib/1.2.3&libidn/1.18&libssh2/1.4.2"&设置完成SNAT之后最好可以设置一下IPTABLES规则保证防火墙安全。IPTABLES主机防火墙规则设置iptables&-A&INPUT&-s&172.16.4.10&-p&tcp&--dport&22-j&ACCEPT
iptables&-A&OUTPUT&-m&state&--stateESTABLISHED,RELATED&-j&ACCEPT
iptables&-P&INPUT&DROP
iptables&-P&OUTPUT&DROPIPTABLES网络型防火墙转发规则设置；如果是生产环境，可以不用配置，因为公网地址无法访问私网地址，这里配置主要是为了更接近生产环境iptables&-A&FORWARD&-d172.16.0.0/16&&-m&state&--stateESTABLISHED,RELATED&-j&ACCEPT
iptables&-AFORWARD&-s&172.16.0.0/16&-j&ACCEPT
iptables&-PFORWARD&DROP配置完成之后内网可以访问外网，但是外网已经无法访问内网了&动态地址上网说明：在某些情况下，网关的外网ip地址可能并不固定，如ADSL宽带接入时。为了解决这种问题，IPTABLES提供了一个名为MASQUERADE的数据报控制类型，MASQUERAD同样用来修改源ip地址，只不过他能够自动获取外网ip地址。iptables&-t&nat&-A&POSTROUTING&-s&172.16.0.0/16&-oppp0&-j&MASQUERADEDNAT实现环境拓扑图：650) this.width=650;" src="/wyfs02/M02/6C/F9/wKiom1VYl5WjL0jnAAHA8Gi5DxE273.jpg" alt="" border="0" />环境说明：系统环境主机名地址配置功能描述WEB服务器Centos6.6 64位WEB内网：eth0：172.16.4.100网关：172.16.4.1提供web页面供用户访问iptables防火墙Centos6.6 64位iptables内网：eth0 172.16.4.1外网：eth1 1.1.1.2当用户请求公网地址的80端口时将请求转发给，内网服务器，实现DNAT功能外网用户Centos6.6 64位WAN外网：eth0：1.1.1.1测试客户端，用来访问内网服务器地址转换过程650) this.width=650;" src="/wyfs02/M00/6C/F4/wKioL1VYmRewkwKwAAJGSjetIDY999.jpg" alt="" border="0" />实现过程前提条件：清除所有SNAT的配置，IP地址等相关信息不变，保证内网和外网可以ping通。配置过程：配置内网web页面，并启动httpd服务[root@WEB&~]#&echo&"LAN&WEB"&&/var/www/html/index.html
[root@WEB&~]#&service&httpd&start外网访问内网web服务器[root@WAN&~]#&curl&http://172.16.4.100
LAN&WEB防火墙配置DNATiptables&-t&nat&-A&PREROUTING&-d&1.1.1.2&-p&tcp--dport&80&-j&DNAT&--to-destination&172.16.4.100外网访问IPTABLES防火墙的公网地址，就可以打开网页了[root@WAN&~]#&curl&http://1.1.1.2
LAN&WEB但是记录的日志是外网用户的地址[root@LAN&~]#&tail&-1&/var/log/httpd/access_log
1.1.1.1&-&-&[24/Apr/:36&+0800]&"GET/&HTTP/1.1"&200&8&"-"&"curl/7.19.7&(x86_64-redhat-linux-gnu)libcurl/7.19.7&NSS/3.15.3&zlib/1.2.3&libidn/1.18&libssh2/1.4.2"本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)博客访问： 1545646
博文数量： 157
博客积分： 8668
博客等级： 中将
技术积分： 3828
注册时间：
认证徽章：
IT168企业级官微
微信号：IT168qiye
系统架构师大会
微信号：SACC2013
分类： 网络与安全
准备记录一下同时需要使用 DNAT 和 SNAT 的场景。-- to be conituned.两篇参考文章如下：1. 我对snat，dnat，回环的一点认识http://blogold.chinaunix.net/u/9151/showart_91547.html2. Nat回环（Lan——>Lan端口映射原理）http://www..cn/space-112942-do-blog-id-1438.html
阅读(4062) | 评论(1) | 转发(2) |
相关热门文章
给主人留下些什么吧！~~
楼主您好， 如今看到许多路由器上集成了那个“酒店模式”---- PC的IP、网关、DNS任意配，只要一接上路由器，就能上网，感觉应该是跟SNAT有关系，但是不知道具体详细过程是怎木实现的，肯请指点！
请登录后评论。如何区分SNAT和DNAT
时间： 10:32:27
&&&& 阅读：64
&&&& 评论：
&&&& 收藏：0
&&&&&& 从定义来讲它们一个是，一个是目标地址转换。都是的功能，将私有地址转换为公网地址。要区分这两个功能可以简单的由连接发起者是谁来区分：&&&&&&&内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由或者防火墙上的网关对内部地址做个，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。&&&&&& 当内部需要提供对外服务时（如对外发布web网站），外部地址发起主动连接，由或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做，此转换称为DNAT，主要用于内部服务对外发布。在配置防火墙或者acl策略时要注意这两个NAT一定不能混淆。
&转自：&http://ymxl007./blog/static//
&&国之画&&&& &&&&chrome插件&&
版权所有 京ICP备号-2
迷上了代码！用户名：wlzxxb
访问量：218
注册日期：
阅读量：1297
阅读量：3317
阅读量：587374
阅读量：473888
51CTO推荐博文
所谓反向NAT，其实是个不标准的叫法。标准的应该叫DNAT，与SNAT相对。DNAT者，目标网络地址转换；SNAT者，源网络地址转换。比如一台内网的机器想上internet，这时要用SNAT，将内网地址换成公网的正式IP地址；又比如内网有一台服务器想发布到公网上，让公网上的其它人来访问你，这时要用的就是DNAT。 本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：未分类┆阅读(0)┆评论(0)