iptables nat 测试

原創

2020-06-30 01:52

网络环境：

node01: eth0: 10.11.1.197/22
node02: eth0: 10.11.1.198/22, eth1: 192.168.1.198/24
node03: eth0: 192.168.1.199/24

SNAT 测试

node02始终作为NAT的节点，因为它可以同时访问到node01和 node03

模拟场景，从node01 ping node03 的ip （192.168.1.199）经过node02的时候source ip通过SNAT转换为node02的ip（192.168.1.199）
当前网络环境 node01 不能ping通 192.168.1.198 和 192.168.1.199 因为node01还没建立192.168.1.x的路由。

1. 在node02建立相应的SNAT规则(SNAT规则一般建在POSTROUTING上)：
$ iptables -t nat -A POSTROUTING -s 10.11.1.197 -j DNAT --to-destination 192.168.1.198

2. 在node01上建立相应的路由规则：
$ route add -net 192.168.1.0/24 gw 10.11.1.198

3. 从node01上ping 192.168.1.199
$ ping 192.168.1.199
PING 192.168.1.199 (192.168.1.199) 56(84) bytes of data.
64 bytes from 192.168.1.199: icmp_seq=1 ttl=64 time=2.83 ms
64 bytes from 192.168.1.199: icmp_seq=2 ttl=64 time=1.10 ms

4. 从node03上抓icmp的包, node03查看的是来自192.168.1.198（node02）的包：
$ tcpdump -nei eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
01:47:46.394650 00:50:56:b0:74:08 > 00:50:56:b0:52:d7, ethertype IPv4 (0x0800), length 98: 192.168.1.198 > 192.168.1.199: ICMP echo request, id 32146, seq 5, length 64
01:47:46.394716 00:50:56:b0:52:d7 > 00:50:56:b0:74:08, ethertype IPv4 (0x0800), length 98: 192.168.1.199 > 192.168.1.198: ICMP echo reply, id 32146, seq 5, length 64

DNAT 测试

为了更好的测试，在测试之前最好清空SNAT测试的规则，路由等。
模拟场景：在node02 eth0上增加一个secondary ip， node01访问这个ip的时候，其实真正访问的是node03

1. 往node02上增加一个secondary ip
$ ip addr add 10.11.1.199/22 dev eth0

2. 建立DNAT规则，（DNAT规则一般建立在PREROUTING上）, 将访问10.11.1.199的包转换为访问192.168.1.199的包。
$ iptables -t nat -A PREROUTING -d 10.11.1.199 -j DNAT --to-destination 192.168.1.199

3. 从node01上ping 10.11.1.199
$ ping 10.11.1.199
PING 10.11.1.199 (10.11.1.199) 56(84) bytes of data.
64 bytes from 10.11.1.199: icmp_seq=1 ttl=64 time=1.42 ms
64 bytes from 10.11.1.199: icmp_seq=2 ttl=64 time=0.905 ms

4. 从node03上抓icmp包， node03上同样抓的是来自192.168.1.198（node02）的包。
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
01:54:24.446025 00:50:56:b0:74:08 > 00:50:56:b0:52:d7, ethertype IPv4 (0x0800), length 98: 192.168.1.198 > 192.168.1.199: ICMP echo request, id 32156, seq 1, length 64
01:54:24.446266 00:50:56:b0:52:d7 > 00:50:56:b0:74:08, ethertype IPv4 (0x0800), length 98: 192.168.1.199 > 192.168.1.198: ICMP echo reply, id 32156, seq 1, length 64

5. 为了让node01能ssh到node03，在node02上打开FORWARD chain的ssh端口:
$ iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

6. 从node01上ssh 10.11.1.199，虽然10.11.1.199绑定在node02上，真正访问的节点其实是 node03
$ ssh [email protected]
[email protected]'s password:
Last login: Thu Sep 10 01:37:10 2015 from 192.168.1.198
[root@node03~]#

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

相關文章

CentOS7下配置Nginx

背景最近倒騰服務器的時候，選擇了CentOS7操作系統，在安裝配置Nginx的時候遇到了Permission Denied問題。按照chown和chmod進行配置無果，後來定位到SELinux問題。 SELinux是什麼？ When yo

2024-02-07 13:55:28

常用Linux命令、包括vi 、svn

PS: http://man.linuxde.net/vi /etc/init.d/network restart //=========================================== 更新腳本 cd /www/scr

2023-08-15 21:24:17

Linux环境下的主流技术部署（基于Docker容器）

搞了臺阿里雲服務器，準備學習下基於Docker容器的各種主流技術部署，那麼讓我們愉快的開始吧！ Docker環境安裝安裝yum-utils：yum install -y yum-utils device-mapper-pe

2023-02-25 00:27:07

BPF 和 Go: Linux 中的现代内省形式

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

2021-12-20 11:08:55

10 款你不知道的 Linux 环境下的替代工具！

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

2021-12-11 15:33:58

2022年，Rust 将成为 Linux 内核第二官方语言？

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-10 14:33:55

Linux 年度报告发布：2021 预计亏损300w，重点关注开源硬件

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-09 15:38:57

Android C++系列：Linux线程（一）概念

{"type":"doc","content":[{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"1. 什麼是線程",

2021-12-08 11:33:58

在Linux系统发行版（以CentOS7为例）上部署ElasticSearch集群并启动Kibana和Logstash

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

为自己带盐

2021-12-07 10:29:04

2021 专业人士 Linux 系统 TOP 5

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-06 10:13:57

微软在Edge不断作死：疑似阻止用户下载谷歌；Linux 之父怒喷桌面版 Linux；滴滴出行美股退市靴子落地...传阿里员工福利再升级，或全面试行灵活办公...

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-12-06 10:03:56

Android C++系列：Linux信号（三）

{"type":"doc","content":[{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"可重入函數","at

2021-12-03 18:19:01

curl 作者怒喷苹果，我不当工具人；国美通报批评摸鱼员工，网友急了；Windows 11 恢复蓝屏死机，熟悉的味道回来了

{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null

2021-11-21 11:03:51

“杀死”CentOS ，替代品 Rocky Linux 8.5 发布

{"type":"doc","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"typ

2021-11-20 20:43:53

windows设置wifi优先级方法

公司很多wifi，有時候電腦自動連到信號不好的，導致網絡不暢。查了一下找到如下設置wifi連接優先級的方法。首先查看記住的wifi名稱 netsh wlan show profiles 然後查看網絡接口名稱 netsh wlan

2024-03-12 11:45:53

24小時熱門文章

最新文章

最新評論文章