SNAT与DNAT原理

SNAT和DNAT （源地址转换和目标地址转换）
SNAT：源地址转换。内网到外网转换的是源地址。

 DNAT：目标地址转换：外网到内网转换的是目的地址 （把内部服务器的ip地址转换成一个所有人都可以访问的地址）

DNAT的转换
1.DNAT转换------发布内网的Web服务
#把从ens33进来的要访问web服务的数据包目的地址转换为 192.168.80.10
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to 192.168.233.21
或
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 80 -j DNAT --to-destination 192.168.233.21
入站 外网网卡 外网IP 内网服务器IP
iptables -t nat -A PREROUTING -i ens33 -p tcp --dport 80 -j DNAT --to 192.168.233.10-192.168.233.100

2、DNAT转换2------发布时修改目标端口
#发布局域网内部的OpenSSH服务器，外网主机需使用250端口进行连接
iptables -t nat -A PREROUTING -i ens33 -d 12.0.0.1 -p tcp --dport 250 -j DNAT --to 192.168.233.21:22

#在外网环境中使用SSH测试
ssh -p 250 root@12.0.0.1

yum -y install net-tools #若没有 ifconfig 命令可提前使用 yum 进行安装
ifconfig ens33

注意：使用DNAT时，同时还要配合SNAT使用，才能实现响应数据包的正确返回

/etc/sysctl.conf ：修改配置，可以修改内核参数，永久生效

linux系统如何抓包：
面试题，也是实用技能
tcpdump 来实现linux抓包，是自带的工具。
tcpdump tcp -i ens33 -t -s0 -c 10 and dst port 80 and src net 20.0.0.0/24 -w /opt/target.cap
指定抓包的协议 ：tcp
-i ens33 只抓经过ens33的数据包
-t：不显示时间戳
-s0：抓取完整的数据包
and：目的端口是80，and 20.0.0.0/24 数据包的源地址
-w把抓包的文件保存

tcpdump tcp -i ens33 -s0 -w ./ens33.cap
动态抓包