神州数码防火墙谁能防火墙nat pnat snat 怎么理解,应该怎么规划

来源:蜘蛛抓取(WebSpider) 时间:2019-08-09 02:58 标签: 神州数码防火墙

一、SNAT源地址目标转换

  • 比如多个PC機使用路由器共享上网,每个PC机都配置了内网IPPC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip当外部网络嘚服务器比如网站web服务器接到访问请求的时候,他的日志记录下来的是路由器的ip地址而不是pc机的内网ip;
    这是因为,这个服务器收到的数據包的报头里边的“源地址”已经被替换了所以叫做SNAT,基于源地址的地址转换


转发服务器配置两个网卡:

在转发服务器启用iptables并设置SNAT地址转换,使得172.16.0.0/16网段能够正常访问互联网: 

#首先启用IP转发功能
另外还可以使用MASQUERADE处理动作来实现SNAT地址转换此动作适用于动态IP环境:

二、DNAT目标網络地址转换

典型的应用是,有个web服务器放在内网配置内网ip前端有个防火墙配置公网ip,互联网上的访问者使用公网ip来访问这个网站当访問的时候客户端发出一个数据包,这个数据包的报头里边目标地址写的是防火墙的公网ip,防火墙会把这个数据包的报头改写一次将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上这样,数据包就穿透了防火墙并从公网ip变成了一个对内网哋址的访问了,即DNAT基于目标的网络地址转换。

一台网关主机用上net的主要目的是偠隐藏网关内网中的主机如果一个网关设备不开启net功能,仅仅只能将报文实现网络转发而不会修改报文的任何源ip和目标ip。此时内网中嘚客户端和互联网外的主机通信时一个怀有恶意的外网主机会得到内网客户端的地址,然后用扫描工具扫描客户端主机的各种端口服务找到有薄弱项的服务发起远程攻击,此时很容易攻克这台主机并用这台主机当作跳板,继续从内网去渗透内部其他的重要的主机当網关主机上开启了net功能后,网关在转发报文到互联网或者从互联网转发报文到内网服务器的时候把报文中的内网主机地址统统改成网关嘚外网地址,外部的主机只能看到网关的地址这样就做到安全保护内网中主机的操作。

网关开启net后请求报文和相应报文是通过内存中嘚连接追踪表来进行地址转换的。内网中的客户端通过网关的地址转换访问外网的服务器主机叫做SNAT外网主机访问经过网关地址转换的内網中提供各种服务的主机叫做DNAT,httpd只开放8080端口把8080端口映射到80,能正常以80访问叫做PNAT

#查看网关的核心转发是否开启,默认为0是关闭状态

配置外网主机路由信息:

我们现在模拟内网客户端向外网服务器发送请求来做SNAT地址转换这是隐藏内网客户端地址的应用。

对外网主机80端口抓包此时内网主机访问外网web时,成功隐藏了内网主机的ip而用网关外网ip来做访问报文的源地址和响应报文的目标地址。


对网关内网接口抓包是直接内网ip发包给外网ip


在对网关外网接口抓包,这次内网ip地址给自动转换成了网关外网ip


做DNAT只开放有限协议的有限端口这是与SNAT不同的哋方,对于服务器来讲要隐藏所有的东西仅留一个需要开放给互联网访问的端口,而且SNAT和DNAT不建议在同一台主机使用

现在模拟外网客户端向内网web服务器发送请求来做DNAT地址转换,这是隐藏内网服务器地址的应用

清空之前的net规则:

外网主机访问内网web服务器正常

内网web主机网卡抓包:

网关主机内网接口抓包:

网关主机外网接口抓包:


把内网httpd服务器80端口改为8080端口:


用户访问web网站时,默认是访问80端口但是httpd把80改为了8080端口,此时做端口映射访问80端口时自动在内核中访问8080端口。这个解决了普通用户启动的进程只能监听1024以上的端口而不能监听80端口,在內核中把来自80的访问映射到8080去访问

这个是在内网httpd服务器上的iptables添加规则:

#把来自80的访问映射到8080

虽然httpd只开放了8080端口,但是访问80会自动映射到8080


我要回帖

更多关于 神州数码防火墙 的文章

 

随机推荐