Software-Firewall iptables unter Linux – Einstellung der NAT-Tabellenregeln

Neben der am häufigsten verwendeten Filtertabelle verwendet iptables gelegentlich auch die Nat-Tabelle. NAT ist Network Address Translation, das zum Ändern der Quell-IP-Adresse oder Ziel-IP-Adresse verwendet wird. Schauen wir uns nun den Tabellen- und Kettenprozess eines einfachen Datenpakets an, das über iptables zum Back-End-Host geleitet wird. ... Die POSTROUTING-Kette der Tabelle wird schließlich gesendet. Der erste und letzte Schritt im Zusammenhang mit NAT sind die PREROUTING-Kette und die POSTROUTING-Kette.

PREROUTING-Kette ändert die Ziel-IP, die als DNAT bezeichnet wird.

Die POSTROUTING-Kette ändert die Quell-IP, die als SNAT bezeichnet wird. Welche Szenarien müssen also DNAT verwenden? sind für SNAT üblich. Welche Anwendungen gibt es? Bei DNAT besteht die häufigste Vorgehensweise darin, den internen Netzwerkport dem externen Netzwerk zuzuordnen, damit andere Benutzer darauf zugreifen können. Auf diese Weise wird die Sicherheit des internen Netzwerks erheblich verbessert, da das externe Netzwerk keine Daten direkt an das interne Netzwerk übertragen kann.

Szenario: Es gibt einen Host A (192.168.1.111) im Intranet, auf dem eine Website eingerichtet ist, und es gibt auch einen Host B (192.168.1.2) im Intranet mit einer öffentlichen IP (39.100.92.12). So lassen Sie das externe Netzwerk zu. Der Benutzer besucht die Website über A.

Zu diesem Zeitpunkt müssen Sie einen DNAT-Vorgang auf Host B durchführen, um die Zieladresse vom öffentlichen Netzwerk ip39.100.92.12 in die interne Netzwerkadresse 192.168.1.111 zu ändern. Der Vorgang ist wie folgt:

• # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
  > -j DNAT --to-destination 192.168.1.111:80

  Zusätzlich zur Änderung der IP kann auch der Port in der PREROUTING-Kette geändert werden. Beispielsweise wird Port 80 dem Port 8080 zugeordnet, aber der Operationsname lautet nicht mehr DNAT, sondern REDIRECT.

  # iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
  > -j REDIRECT --to-ports 8080

• SNAT

Für SNAT besteht unsere häufigste Anwendung darin, dass Intranet-Maschinen über einen Proxyserver auf das Internet zugreifen. Der Intranet-Host verfügt also nicht über eine öffentliche IP, sodass das Datenpaket des Intranet-Hosts den Proxy durchläuft Server, der Proxyserver Sie müssen die Quelladresse des Datenpakets in die öffentliche IP des Proxyservers ändern. Szenario: Es gibt einen Host A (192.168.1.111) im Intranet und einen Host B (192.168.1.2) mit einer öffentlichen IP (39.100.92.12). Wie kann also eine Verbindung zu Host A hergestellt werden? das öffentliche Netzwerk?

# iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 \
> -j SNAT --to-source 39.100.92.12

Die Funktionsweise von DNAT und SNAT ist nicht sehr kompliziert. Die Hauptsache ist, die Anwendungsszenarien von DNAT und SNAT zu verstehen. Ich hoffe, dass jeder ihre Unterschiede verstehen kann.

Verwandte Empfehlungen: „

Linux-Video-Tutorial

“

Das obige ist der detaillierte Inhalt vonSoftware-Firewall iptables unter Linux – Einstellung der NAT-Tabellenregeln. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!