SNAT与DNAT

一、SNAT和DNAT简介

SNAT：局域网共享一个公网IP接入lnternel，好处如下

1. 保护内网用户安全，因为公网地址总有一些人恶意扫描，而内网地址在公网没有路由所以无法被扫描，能被扫描的只有防火墙这一台，这样就减少了被攻击的可能。
2. Ipv4地址匮乏，很多公司只有一个ipv4地址，但是却有几百个用户需要上网，这个时候就需要使用SNAT。
3. 省钱，公网地址付费，使用SNAT只需要一个公网ip就可以满足几百人同时上网。

DNAT：向internel发布内网服务器，在内网中有服务器，如果想让公网用户访问有有两种方法

1.       1. 配置双网卡，一网卡对内，一网卡对外；一般是高访问量的WEB服务器，为了避免占用网关            的流量才这样做，使用不是很广泛。
2.       2. 内网web服务器，或是ftp服务器，为了用户在公网也可以访问，有不想买公网ip地址，采用            DNAT方案。

二、SNAT原理及应用

1、概述

SNAT典型应用环境：

局域网主机共享单个公网IP地址接入Internet。（私有IP不能在Internet中正常路由）

SNAT策略的原理：

• 源地址转换，Source Network Address Translation
• 修改数据包的源地址

SNAT原地址转换过程：

• 数据包从内网发送到公网时，SNAT会把数据包的源地址由私网IP转换成公网IP。
• 当相应的数据包从公网发送到内网时，会把数据包的目的地址由公网IP转换为私网IP。
• 当内网有多台主机访问外网时，SNAT在转换时会自动分配端口，不同内网主机会通过端口号进行区分。

2、SNAT策略的配置

SNAT转换前提条件

1. 局域网各主机已正确设置IP地址、子网掩码、默认网关地址
2. linux网关开启IP路由转发

linux网关开启IP路由转发

1）临时开启：

echo 1 > /proc/sys/net/ipv4/ip_forward或sysctl -w net.ipv4.ip_forward=1

2）永久开启：

vim /etc/sysctl.confnet.ipv4.ip_forward=1    #将此行写入配置文件 ​sysctl -p     #读取修改后的配置

SNAT转换1：固定的公网IP地址

#配置SNAT策略，实现SNAT功能，将所有192.168.72.0这个网段内的ip的源地址改为12.0.0.2iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to 12.0.0.2      或iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j SNAT --to-source 12.0.0.2-12.0.0.10 ​#-A POSTROUTING  指定POSTROUTING链#-s 192.168.72.0/24  源地址所处的网段（内网IP）#-o ens33  出站网卡#-j SNAT#--to 12.0.0.2   外网IP#--to-source 12.0.0.2-12.0.0.10   外网地址池

SNAT转换2：非固定的公网IP地址（共享动态IP地址）

iptables -t nat -A POSTROUTING -s 192.168.72.0/24 -o ens33 -j MASQUERADE

三、DNAT原理及应用

1、概述

服务器一般不会暴露在公网中，极易被人攻击。服务器一般使用内网IP，所以访问服务器时需要进行目标地址转换。

DNAT策略的应用环境

在Internet中发布位于企业局域网内的服务器

DNAT策略的原理 

• 目标地址转换，Destination Network Address Translation
• 修改数据包的目标地址

DNAT源地址转换过程

• 数据包从外网发送到内网时，DNAT会把数据包的目标地址由公网IP转换成私网IP
• 当相应的数据包从内网发送到公网时，会把数据包的源地址由私网IP转换为公网IP

2、DNAT策略的配置

DNAT转换前提条件

1. 局域网的服务器能够访问Internet
2. 网关的外网地址有正确的DNS解析记录
3. Linux网关开启IP路由转发

vim /etc/sysctl.confnet.ipv4.ip_forward=1    #将此行写入配置文件 ​sysctl -p     #读取修改后的配置

DNAT转换1：发布内网的Web服务

#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.72.10iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.102或iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 80 -j DNAT --to 192.168.72.10-192.168.72.20 ​#-A PREROUTING        //修改目标地址的链           #-i ens33             //入站网卡#-d 12.0.0.254        //数据包的目的地址#-p tcp --dport 80    //数据包的目的端口#-j DNAT              //使用DNAT功能#--to 192.168.109.11  //内网服务器IP

DNAT转换2：发布时修改目标端口

#将公网的IP和端口，转换成内网的IP和端口#发布局域网内部的web服务器，外网主机需使用8080端口进行连接#将12.0.0.254:8080 转换成 192.168.72.10:80iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 8080 -j DNAT --to 192.168.72.10:80 ​#发布局域网内部的Openssh服务器， 外网主机需使用250端口进行连接#将12.0.0.254:250 转换成 192.168.72.10:22iptables-t nat -A PREROUTING -i ens33 -d 12.0.0.254 -p tcp --dport 250 -j DNAT --to 192.168.72.10:22

四、总结

SNAT源地址转换过程（针对客户端）：

• 数据包从内网发送到公网时，SNAT会把数据包的源地址由私网IP转换成公网IP。
• 当相应的数据包从公网发送到内网时，会把数据包的目的地址由公网IP转换为私网IP。
• 当内网有多台主机访问外网时，SNAT在转换时会自动分配端口，不同内网主机会通过端口号进行区分。

DNAT源地址转换过程（针对服务器）：

• 数据包从外网发送到内网时，DNAT会把数据包的目标地址由公网IP转换成私网IP。
• 当相应的数据包从内网发送到公网时，会把数据包的源地址由私网IP转换为公网IP。客户机想
• 访问服务器时，访问的是网关地址，由网关去找服务器的内网地址。
• 如果多台服务器使用同一个网关，那么通过不同的端口号来对应不同的服务器。

来源地址：https://blog.csdn.net/TTSuzuka/article/details/127654822