linux防火墙(四)—— SNET和DNET原理及应用
图(1)
一、SNAT策略
应用环境:局域网主机共享单个公网IP地址接入Internet,简单的说就是企业内部局域网想访问外部服务器时,网关型防火墙需要开启的SNAT应用策略。
SNAT策略原理:网关型防火墙把源地址转换,修改数据包的源地址。
*未作SNAT转换时内网数据包通信的分析:
图(2)中局域网以192.168.1.234的IP访问Web服务,发送数据包时,网络层会封装源地址和目标地址,当Web服务器进行HTTP应答时,找不到192.168.1.234的IP地址(私网地址不允许出现在公网),所以通讯中断。
图 (2)
*进行SNAT转换后的数据包通信分析:
图(3)中网关服务器应用了SNAT策略,当局域网访问外网的数据到达网关,会先进行路由选择,若发现数据包需要从外网接口eht0向外转发,则将其源IP地址修改为网关的外网接口地址218.29.30.31,然后再发送给目标Web服务器,相当于从网关服务器的公网IP地址提交数据访问请求,因为是公网IP,当Web服务器进行HTTP应答时,也可以正确返回响应数据包。
图 (3)
*在上述地址转换的过程中,网关服务器会根据之前建立的SNAT映射,将响应数据包正确返回局域网中的源主机,因此,只要连接的第一个包被SNAT处理了,那么这个连接及对应数据流的其他包也会自动地进行SNAT处理,另一方面,Internet中的服务器并不知道局域网PC的实际IP地址,中间的转换完全由网关主机完成,一定程度上也起到了保护内部网络的作用。
二、设置SNAT规则
前提条件:
局域网各主机正确设置IP地址和子网掩码
局域网各主机正确设置默认网关地址
Linux网关支持IP路由转发,即/etc/sysctl.conf文件中的net.ipv4.ip_forword = 1
(1)SNAT转换规则1:固定的外网IP地址
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 218.29.30.31
(2)SNAT转换规则2:非固定外网IP地址或ADSL
