(13)iptables详解:iptables动作总结之二

(13)iptables详解:iptables动作总结之二

ID:43540650

大小:217.11 KB

页数:21页

时间:2019-10-10

(13)iptables详解:iptables动作总结之二_第1页
(13)iptables详解:iptables动作总结之二_第2页
(13)iptables详解:iptables动作总结之二_第3页
(13)iptables详解:iptables动作总结之二_第4页
(13)iptables详解:iptables动作总结之二_第5页
资源描述:

《(13)iptables详解:iptables动作总结之二》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、iptables详解(13):iptables动作总结之二概述阅读这篇文章需要站在前文的基础上,如果你在阅读时遇到障碍,请参考之前的文章。前文中,我们己经了解了如下动作ACCEPT>DROP、REJECT.LOG今天,我们来认识几个新动作,它们是:SNAT、DNAT、MASQUERADE.REDIRECT在认识它们之前,我们先来聊聊NAT,如果你对NAT的相关概念己经滚瓜烂熟,可以跳过如下场景描述。NAT是NetworkAddressTranslation的缩写,译为"网络地址转换〃,NAT说白了就是修改报文的IP地址,NAT功能通

2、常会被集成到路由器、防火墙、或独立的NAT设备中。为什么要修改报文的IP地址呢?我们来描述一些场景,即可知道为什么有这方面的需求了。场景1:假设,网络内部有10台主机,它们有各口的IP地址,当网络内部的主机与其他网络中的主机通讯时,则会暴露自己的IP地址,如果我们想要隐藏这些主机的IP地址,该怎么办呢?可以这样办,如下。当网络内部的主机向网络外部主机发送报文时,报文会经过防火墙或路由器,当报文经过防火墙或路由器时,将报文的源IP修改为防火墙或者路由器的IP地址,当其他网络中的主机收到这些报文时,显示的源IP地址则是路由器或者防火墙的

3、,而不是那10台主机的TP地址,这样,就起到隐藏网络内部主机TP的作用,当网络内部主机的报文经过路由器时,路由器会维护一张NAT表,表中记录了报文来自于哪个内部主机的哪个进程(内部主机IP+端口),当报文经过路宙器时,路由器会将报文的内部主机源IP替换为路由器的IP地址,把源端口也映射为某个端口,NAT表会把这种对应关系记录下来。75意图如卜:源IP源PORT目标IP目标PORT路由IP映射后PORT目卿目标PORT于是,外部主机收到报文时,源IP与源端口显示的都是路由的IP与端口,当外部网络中的主机进行回应时,外部主机将响应报文发

4、送给路由器,路由器根据刚才NAT表中的映射记录,将响应报文中的冃标IP与冃标端口再改为内部主机的IP与端口号,然后再将响应报文发送给内部网络中的主机。整个过程中,外部主机都不知道內部主机的TP地址,内部主机还能与外部主机通讯,于是起到了隐藏网络内主机IP的作用。上述整个过程屮,就用到了NAT功能,准确的说是用到了NAPT功能,NAPT是NAT的一,种,全称为NetworkAddressPortTranslation,说白了就是映射报文IP地址的同时还会映射其端口号,就像刚才描述的过程一样。刚才描述的过程中,〃IP地址的转换〃一共发生

5、了两次。内部网络的报文发送出去时,报文的源IP会被修改,也就是源地址转换:SourceNetworkAddressTranslation,缩写为SNATo外部网络的报文响应时,响应报文的目标IP会再次被修改,也就是目标地址转换:Destinationnetworkaddresstranslation,缩写为DNATo但是,上述〃整个过程〃被称为SNAT,因为〃整个过程〃的前半段使用了SNAT,如果上述〃整个过程〃的前半段使用了DNAT,则整个过程被称为DNAT,也就是说,整个过程被称为SNAT还是DNAT,取决于整个过程的前半段使用

6、了SNAT还是DNATo其实刚才描述的场景不仅仅能够隐藏网络内部主机的IP地址,还能够让局域网内的主机共享公网IP,让使用私网IP的主机能够访问互联网。比如,整个公司只有一个公网IP,但是整个公司有10台电脑,我们怎样能让这10台电脑都访问互联网呢?我们可以为这10台电脑都配置上各自的私网IP,比如"192.168〃这种私网TP,但是互联网是不会路由私网IP的,如果想要访问互联网,则必须使用公网IP,那么,我们就需要想办法,能让这10台主机共享公司仅有的一个公网IP,没错,这与刚才描述的场景其实完全一致,我们只要在路由器上配置公网I

7、P,在私网主机访问公网服务时,报文经过路由器,路由器将报文中的私网IP与端口号进行修改和映射,将其映射为公网IP与端口号,这时,内网主机即可共享公网IP访问互联网上的服务了,NAT表示意图如下Four-TupleExternsiFour-Tupl«WorkStationSourc*IPAddressSourcePort0«slin>tionIPAddress0Mlin>tionPortSourceIPAddressSourcePortIPAddressin»tionPortProtocolUsed1921682112000abcd2

8、0643310418014000abed20TCP*1192.1682112001abod2164.33.104.18014001abed21TCPi*21921G82212000•bod206433104«014002■b20TCP

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。