SNAT和DNAT的原理和应用

一、SNAT（源网络地址转换）

原理：

SNAT（Source Network Address Translation）是将私有网络内部主机的源IP地址转换为公共IP地址，用于在内部网络中的主机访问外部网络时隐藏内部IP地址。它通常用于内网中的设备需要访问外网的场景。

应用场景：

1. 共享互联网连接： 多台内网主机通过一个公共IP地址访问互联网。
2. 提高网络安全： 隐藏内部网络的IP地址，防止外部直接访问内网设备。
3. 负载均衡： 在多个出口中选择一个进行通信。

配置示例：

将源IP地址192.168.1.0/24转换为外部IP地址203.0.113.5：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to-source 203.0.113.5

二、DNAT（目标网络地址转换）

原理：

DNAT（Destination Network Address Translation）是将外部网络的目标IP地址转换为内部网络的IP地址，用于将外部访问请求转发到内部网络中的特定主机。它通常用于外网访问内网服务器的场景。

应用场景：

1. 服务器映射： 将外部请求转发到内部服务器，例如Web服务器、邮件服务器等。
2. 端口转发： 将特定端口的访问请求转发到内部网络的特定主机和端口。
3. 负载均衡： 将外部请求分发到多台内部服务器，实现负载均衡。

配置示例：

将外部访问203.0.113.5的HTTP请求转发到内部服务器192.168.1.100：

iptables -t nat -A PREROUTING -d 203.0.113.5 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

总结

• SNAT 用于内部网络访问外部网络时，将源IP地址转换为公共IP地址，实现内网设备共享外网连接，提升网络安全。
• DNAT 用于外部网络访问内部网络时，将目标IP地址转换为内网IP地址，实现外网对内网服务器的访问及端口转发。

通过SNAT和DNAT，可以灵活管理和控制网络流量，实现内外网的安全隔离和资源共享。

实操步骤：网关服务器

第一步：先设置网关服务器的ip地址，两张网卡，ens33设置为内网，ens36设置为外网

[root@192 network-scripts]# cat ifcfg-ens33 ifcfg-ens36
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
NAME=ens33
UUID=48c852f5-f0f1-4617-b16b-a6aa252ae20a
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.10.1
GATEWAY=192.168.10.1
DNS1=218.2.135.1
NETMASK=255.255.255.0
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static
DEFROUTE=yes
NAME=ens36
UUID=48c852f5-f0f1-4617-b16b-a6aa252ae20a
DEVICE=ens36
ONBOOT=yes
IPADDR=12.0.0.1
GATEWAY=12.0.0.1
DNS1=218.2.135.1
NETMASK=255.255.255.0

第二步：开启路由转发功能

第三步：设置iptables的转换规则

实操步骤：内网服务器

第一步：修改内网服务器的网关ip地址，为网关服务器的ip地址

第二步：开启本机httpd服务，并写上一个测试网页index.html内容为test

实操步骤：外网服务器

第一步：先修改外网服务器的ip地址和网关，都应该是12段的，ip地址是12.0.0.100，网关地址是12.0.0.1

第二步：开启httpd服务。

SNAT的结果验证：

DNAT的结果验证：