自信不如互信 發表於 2023-10-26 00:00:00

Linux防火墙配置SNAT教程(1)

<p>
        <strong>1、实验目标</strong></p>
<p>
          以实验“防火墙配置-访问外网web”为基础,在web服务器上安装wireshark,设置wireshark的过滤条件为捕获http报文,在wireshark中开启捕获,在内网测试机上访问web服务器,查看捕获结果,再在网关防火墙上设置snat,查看捕获结果</p>
<p>
          (防火墙配置-访问外网web:linux防火墙配置教程之访问外网web实验(3)<span style='font-family: tahoma, arial, "Microsoft YaHei"; font-size: 16px;'> </span>)</p>
<p>
        <strong>2、snat(source network address translation)</strong></p>
<p>
          源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,俗称ip地址欺骗或伪装</p>
<p>
          内部地址要访问公网上的服务时(如web访问),内部地址会主动发起连接,由路由器或者防火墙上的网关对内部地址做个地址转换,将内部地址的私有ip转换为公网的公有ip,网关的这个地址转换称为snat,主要用于内部共享ip访问外部,同时可以保护内网安全</p>
<p>
        <strong>3、实验拓扑</strong></p>
<p>
        <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" src="https://zhuji.jb51.net/uploads/img/202305/ee9188ccefa38642592bee94e7da4a7d.jpg"></p>
<p>
        4、实验步骤</p>
<p>
        (1)完成“防火墙配置-访问外网web”实验</p>
<p>
        (2)在web服务器上安装wireshark</p>
<p>
          1)配置本地yum源(centos 6.5配置本地yum源教程)</p>
<p>
          2)安装wireshark</p>
<p>
         </p>
<div class="codetitle">
        <span><u>复制代码</u></span> 代码如下:</div>
<div class="codebody" id="code36956">
        # yum install wireshark wireshark-gnome -y  //gnome表示桌面版</div>
<p>
         </p>
<p>
          3)打开wireshark</p>
<p>
          安装完成之后,点击“应用程序”——“internet”——“wireshark”即可打开</p>
<p>
          <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" src="https://zhuji.jb51.net/uploads/img/202305/1f5ce43de4261a1a7763ee5b444f3d5c.jpg"></p>
<p>
        <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" src="https://zhuji.jb51.net/uploads/img/202305/4138bfd1a25cb30f2aecabc154ada3d7.jpg"></p>
<p>
        (3)设置wireshark的过滤条件为捕获http报文</p>
<p>
        点击“capture”——“option”——在弹出的窗口中勾选“eht0”</p>
<p>
        <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" src="https://zhuji.jb51.net/uploads/img/202305/f6e6e1db388eaf0926259067debf5ac4.jpg"></p>
<p>
        双击“eth0”——在弹出的窗口中点击“capture filter”——点击“http tcp port(80)”——确定</p>
<p>
        <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" src="https://zhuji.jb51.net/uploads/img/202305/975ece1b6b2a0271d108d1e95f0c747b.jpg"></p>
<p>
        (4)在内网测试机上访问web服务器</p>
<p>
        此时看到的源地址是内网测试机的地址192.168.0.10</p>
<p>
        <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" src="https://zhuji.jb51.net/uploads/img/202305/090c4cd8a27cd3f2373a85683af626a6.jpg"></p>
<p>
        (5)在网关防火墙上设置snat</p>
<p>
         </p>
<div class="codetitle">
        <span><u>复制代码</u></span> 代码如下:</div>
<div class="codebody" id="code28670">
        # iptables -t nat -a postrouting -s 192.168.0.0/24 -o eth1 -j masquerade</div>
<div class="codetitle">
        <span><u>复制代码</u></span> 代码如下:</div>
<div class="codebody" id="code6644">
        masquerade:动态地址伪装,用发送数据的网卡上的ip来替换源ip</div>
<p>
         </p>
<p>
        (6)内网测试机上访问web服务器,捕获结果如下:</p>
<p>
        <img title="Linux防火墙配置SNAT教程(1)" alt="Linux防火墙配置SNAT教程(1)" id="theimg" src="https://zhuji.jb51.net/uploads/img/202305/9169b8e4083a2dd9a6136f8c4fbf7e79.jpg"></p>
<p>
        此时,源地址已经被替换成了网关的eth1的ip地址,snat的目的已经达到!</p>
<p>
        以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。</p>
頁: [1]
查看完整版本: Linux防火墙配置SNAT教程(1)