1.SNAT

SNAT原理与应用:
SNAT 应用环境:局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)
SNAT原理:源地址转换，根据指定条件修改数据包的源IP地址，通常被叫做源映谢

SNAT转换前提条件:
1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2.Linux网关开启IP路由转发 
linxu系统本身是没有转发功能 只有路由发送数据

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址

 2.Linux网关开启IP路由转发

linxu想系统本身是没有转发功能 只有路由发送数据 
[root@localhost network-scripts]#tcpdump -i ens37 -nn icmp
临时打开:
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -W net.ipv4.ip_forward=1
永久打开:
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1    #将此行写入配置文件
   
sysctl -p  #读取修改后的配置

3.修改iptables网卡

SNAT转换1:固定的公网IP地址:

[root@node2 ~]#iptables -t nat -A POSTROUTING  -s  12.0.0.0/24  -o ens33 -j SNAT --to 192.168.91.101
#交给网关
[root@localhost ~]#iptables -t nat -A POSTROUTING -s  12.0.0.0/24 -o ens37 -j SNAT --to 192.168.91.101~192.168.91.103
                                                     内网地址             出站网卡               外网ip 或地址池

SNAT转换2:非固定的公网IP地址:
iptables -t nat -A POSTROUTING -s 12.0.0.0/24 -d 192.168.100.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -s  192.168.100.0/24 -o ens37 -j MASQUERADE

2.DNAT

DNAT原理与应用:
DNAT应用环境:在Internet中发布位于局域网内的服务器
DNAT原理:目的地址转换，根据指定条件修改数据包的目的IP地址，保证了内网服务器的安全，通常被叫做目的映谢。

DNAT转换前提条件:
1.局域网的服务器能够访问Internet
2.网关的外网地址有正确的DNS解析记录                                                                                           3. Linux网关开启IP路由转发                                                                                                              

内网有一个  网页服务器 想要给外网用户访问

外网用户直接访问 192.168.91.100 是访问不了    公网没有 192段地址

需要借助  DNAT 技术  将 192.168.91.100 ：80   映射成  12.0.0.1：80

12.0.0.1:80    等于  访问 192.168.91.100:80

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp --dport PORT -j DNAT --todestination InterSeverIP[:PORT]

vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p

DNAT转换1:发布内网的Web服务
#把从ens37进来的要访问web服务的数据包目的地址转换为192.168.100.101
[root@node2 ~]#iptables -t nat  -A PREROUTING -i ens36 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.91.100
[root@node2 ~]#iptables -t nat -A POSTROUTING  -o ens36 -s 192.168.91.0/24  -j SNAT --to 12.0.0.1
[root@localhost ~]#iptables -t nat -A POSTROUTING -s 192.168.91.100 -o ens36 -j MASQUERADE 

[root@localhost ~]#iptables -t nat -A PREROUTING -d 12.0.0.1 -p tcp --dport 80 -i ens36 -j DNAT --to 192.168.91.100:8080
#若 端口也可以指定
访问网关测试

小知识扩展:
主机型防火墙主要使用INPUT、OUTPUT链，设置规则时一般要详细的指定到端口
网络型防火墙主要使用FORWARD链，设置规则时很少去指定到端口，一-般指定到IP地址或者到网段即可
防火墙规则的备份和还原
导出(备份)所有表的规则.

tcpdump tcp -i ens33 -t -s 0 -C 100 and dst port ! 22 and src net 192.168.1.0/24 -w ./target.cap
(1)tcp: ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型
(2)-i ens33 : 只抓经过接口ens33的包
(3)-t : 不显示时间戳
(4)-s 0: 抓取数据包时默认抓取长度为68字节。加上-s0后可以抓到完整的数据包
(5)-c 100 :只抓取100个数据包
(6)dst port ! 22 : 不抓取目标端口是22的数据包
(7)src net 192.168.1.0/24 : 数据包的源网络地址为192.168.1.0/24
(8)-w ./target.cap : 保存成cap文件，方便用ethereal(即wireshark)分析

3.实际操作

3.1SNAT

一、网关服务器： 

第一步：先设置网关服务器的ip地址，两张网卡，ens33设置为内网，ens37设置为外网

 

第二步：开启路由转发功能 

 二、内网客户端（172.16.18.5）

第一步：修改内网服务器的网关ip地址，为网关服务器的ip地址

第二步：开启本机httpd服务，并写上一个测试网页index.html内容为haha

 三、外网服务器

第一步：先修改外网服务器的ip地址和网关，都应该是12段的，ip地址是12.0.0.100，网关地址是12.0.0.1 

第二步：开启httpd服务 

检测PC1（centos1）、PC2（centos2）、PC3（centos3）三台机器之间是否互通(使用虚拟机做实验默认是互通的，是由于处在同一环境中，生产环境内网和外网没有SNAT的情况下是不通的) 

进入7-1，Xshell：

进入7-3，虚拟机：

在PC1上curl 服务端ip，然后在服务端实时查看/var/log/httpd/access_log日志。可查看到源ip为PC1的ip，所以是未经过NAT的，生产环境中不可能直接curl通。

四、再次进入网关服务器

设置iptables的转换规则

验证：

在xhell中用内网客户机（172.16.18.5）去访问外网ip地址

再去虚拟机外网服务器查看：centos3

总结

内网主机通过网关服务器的SNAT转换实现访问外网 

不经过nat的地址为PC1（centos1）自己的地址，使用虚拟机环境才会出现这种情况，市场环境是不通的。

经过nat之后的地址是公司的公网ip地址，由网关服务器iptables规则SNAT实现

3.2DNAT

进入网关服务器：设置iptables的转换规则

进入外网服务器进行直接访问，会被拒绝 ， 接下来需要设置防火墙规则（如上图）

设置规则后就好了

进入内网服务器查看验证;

总结

内网主机通过网关服务器的SNAT转换实现访问外网

外网主机访问网关服务器地址，通过DNAT实现访问内网服务器