Linux防火牆設定—SNAT1

2020-06-16 17:16:23

1、實驗目標

　　以實驗“防火牆設定-存取外網WEB”為基礎，在WEB伺服器上安裝Wireshark，設定Wireshark的過濾條件為捕獲HTTP報文，在Wireshark中開啟捕獲，在內網測試機上存取WEB伺服器，檢視捕獲結果，再在閘道器防火牆上設定SNAT，檢視捕獲結果

2、SNAT（source network address translation）

　　源地址轉換，其作用是將ip封包的源地址轉換成另外一個地址，俗稱IP地址欺騙或偽裝

　　內部地址要存取公網上的服務時（如web存取），內部地址會主動發起連線，由路由器或者防火牆上的閘道器對內部地址做個地址轉換，將內部地址的私有IP轉換為公網的公有IP，閘道器的這個地址轉換稱為SNAT，主要用於內部共用IP存取外部，同時可以保護內網安全

3、實驗拓撲

4、實驗步驟

（1）完成“防火牆設定-存取外網WEB”實驗

（2）在WEB伺服器上安裝Wireshark

　　2）安裝Wireshark

[root@linuxidc yum.repos.d]# yum install wireshark wireshark-gnome -y　　//gnome表示桌面版

　　3）開啟Wireshark

　　安裝完成之後，點選“應用程式”——“Internet”——“Wireshark”即可開啟

（3）設定Wireshark的過濾條件為捕獲HTTP報文

點選“Capture”——“Option”——在彈出的視窗中勾選“eht0”

雙擊“eth0”——在彈出的視窗中點選“Capture Filter”——點選“HTTP TCP port（80）”——確定

（4）在內網測試機上存取WEB伺服器

此時看到的源地址是內網測試機的地址192.168.0.10

（5）在閘道器防火牆上設定SNAT

[root@linuxidc 桌面]# iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

MASQUERADE：動態地址偽裝，用傳送資料的網絡卡上的IP來替換源IP

（6）內網測試機上存取WEB伺服器，捕獲結果如下：

此時，源地址已經被替換成了閘道器的eth1的IP地址，SNAT的目的已經達到！