SNAT DNAT实验

首先准备两台centos机器

        如下图

        左边的机器当作客户机，使用仅主机模式

        右边的机器当作路由器        路由器这个机器设置两个网卡，一个网卡用仅主机与另一台虚拟机通信

        一个网卡用桥接，与外网通信

（最好准备两台新的虚拟机，如果使用旧的有可能连接不上，可能原因是主机名虽未变，但网段号变了，去虚拟机网卡配置文件里修改主机ip为正确的网段号，网关也改为正确的网段号即可）

修改完ip地址后，刷新网络服务：service network restart

vmnet1对应的是电脑主机的网卡

vmnet8对应的是连接虚拟机的网卡

修改主机名的命令

hostname set-hostname +主机名

可以将其中一个修改为client（客户机）

一个修改为router（路由器）

方便记

在route机器上有两个网卡，一个桥接一个仅主机，我们输入ip route后如果出现了两个默认路由，会导致通信异常，尽管仅主机模式的网卡它的网段号为192.168.100.2，但是由于是仅主机模式，会连接主机，，到时候显示默认路由会是电脑主机的网关地址ip，如下图

192.168.158.126是主机网关ip

所以需要打开ens33的网卡配置文件，注释掉其网关那一行，保证机器只要一条默认路由

另一台虚拟机的网卡配置无需多言

到此配置过程完毕

==============================================

SNAT技术原理：

 客户机上需要做的工作

        局域网各主机正确设置ip地址/子网掩码

        局域网各主机正确设置默认网关地址/dns服务器地址

网络服务器/路由器

推荐实现步骤：

1.开启网关主机的路由转发功能

临时开启：

永久开启（修改配置文件）：

2.添加使用SNAT策略的防火墙规则

目标主机是不变的，修改的是源ip地址，这里不清楚的话可以看上面的拓扑图，网关服务器激素第二个机器（route），两个网卡，我们要修改的是将源ip地址修改为wan口也就是ens36的ip地址

这样一来，所有数据送出去后源ip地址都会由原来的内网ip变为wan口的公网ip，但这个公网ip不是真正意义上的公网ip（结合上面的拓扑图去理解）因为这只是相对意义上的公网ip，一共需要进行两次SNAT转换，这才第一次

其实可以再弄一台机器作为web服务器，我电脑内存不够了，省去了没弄

弄好了之后设置好ip地址，可以用客户机ping它，验证snat策略是否设置成功

用客户机ping主机的话，可以用科莱抓包

用客户机ping web服务器的话，即这个新的虚拟机，可以用tcpdump抓包（下载yum install tcpdump -y）

如果ping不通，可能是防火墙的问题

关闭防火墙----在路由器上
service firewalld stop 关闭防火墙

service distable firewalld 设置firewalld开机不启动

来编写一个snat的启动脚本

#!/bin/bash

#清除规则
iptables -F
iptables -t nat -F

#开启路由功能
echo 1 >/proc/sys/net/ipv4/ip_forward

#开启snat功能
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens36 -j SNAT --to-source 192.168.100.176
================

bash一下，再测试是否成功

成功

记得是在路由器上面开启snat策略，在客户机上开启没啥用，刚刚没注意，在客户机上面开了。。。。

记得删除客户机上面的snat策略

echo 0 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -D POSTROUTING -s 192.168.100.0/24 -o ens36 -j SNAT --to-source 192.168.100.176

================

排错

分段法

替换法

问题：

client 访问www.baidu.com访问不了？进行排错

分段法

1.检查client本身的ip地址的配置问题，ip，网关，dns服务器

2.ping一下网关

3.ping wan口地址

4.ping www.baidu.com

===================================================

DNAT

原理：

服务器

        局域网的web服务器正确设置了ip地址/子网掩码

        局域网的web服务器正确设置了默认网关地址和dns

Linux 网关服务器

        推荐实现步骤

1.确认已开启网关的路由转发功能

2.添加使用DNAT策略的防护墙规则

完善shell脚本：

#!/bin/bash

#清除规则
iptables -F
iptables -t nat -F

#开启路由功能
echo 1 >/proc/sys/net/ipv4/ip_forward

#开启snat功能
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o ens36 -j SNAT --to-source 192.168.100.176

#开启DNAT功能
iptables -t nat -A POSTROUTING -d 192.168.100.0/24 -i ens36 -p tcp --dport 80 -j DNAT  --to-destination 192.168.100.175

================

用第三台虚拟机（web服务器，还是不能省第三台机器）

打开后安装nginx，yum install nginx -y 如果下载不了可能是repo源的问题

可以按以下步骤操作，自己手动配置源

安装好了之后记得要打开nginx服务，可以使用命令查看是否打开成功

接着理清DNAT的过程之后，可以在浏览器输入对应web服务器的ip地址，可以看到如下信息

这样就成功完成了一次DNAT的转换实验