一、SNAT策略及应用

1.1SNAT策略概述

SNAT应用环境

局域网主机共享单个公网IP地址接入internet（私有IP不能在internet中正常路由）

SNAT原理

1.源地址转换

2.修改数据包的源地址

SNAT转换前提条件

1.局域网各主机已正确设置IP地址、子网掩码、默认网关地址

2.Linux网关开启IP路由转发

1.2开启SNAT的命令

1.2.1临时打开

1.2.2永久打开

 1.3SNAT转换1：固定的公网IP地址

 1.4SNAT转换2：非固定的公网IP地址（共享动态IP地址）

 1.5SNAT案例

1.5.1实验准备

 web服务器ip：192.168.100.102（nat1），关闭防火墙和selinux，开启http服务。

网关服务器内网ip：192.168.100.100（nat1）；外网ip：12.0.0.0（nat2），关闭防火墙和selinux，开启http服务。

win7客户端ip：12.0.0.100（nat2）

VMware的虚拟网络编辑器中默认nat模式网段：192.168.100.0，nant2模式网段：12.0.0.0

1.5.2配置网关服务器（92.168.100.100/12.0.0.1）的相关配置

1.添加两块虚拟网咖，并自定义

 2.复制并修改ens38网卡

 3.修改ens33网卡

 4.重启网络

 1.5.3配置内网服务器（192.168.100.102）相关配置

1.修改ens网卡为仅主机模式

 2.修改ens33网卡

 3.重启网络服务

 4.ping网关测试

 1.5.4配置外网服务器（12.0.0.100）的相关配置

1.修改ens网卡为仅主机模式

 2.修改ens33网卡

 3.重启网络服务

 4.ping网关测试

 1.5.5开启SNAT

1.5.6配置网关服务器的iptables规则

1.安装iptables，关闭防火墙和selinux，开启iptables

 2.查看网关服务器的iptanles规则并清除

 查看规则：

清除规则： 

 1.5.7添加SNAT转换：规定的公网IP地址

 1.5.8实验内外网访问

 二、DNAT策略与应用

2.1DNAT应用环境

在Internet中发布位于局域网内的服务器

2.2DNAT原理

修改数据包的目的地址

2.3DNAT转换前提条件

1. 局域网的服务器能够访问Internet

2. 网关的外网地址有正确的DNS解析记录

3. Linux网关开启IP路由转发

 2.4DANT转换1：发布内网的Web服务

 2.5DNAT转换2：发布时修改目标端口

 2.6在内网上配置

2.7在网关服务器添加iptables规则

2.8测试外网是否能访问内网

 三、Tcpdump——Linux抓包

（1）tcp∶ ip icmp arp rarp 和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型

（2）-i ens33 ∶只抓经过接口ens33的包

（3）-t ∶不显示时间戳

（4）-s 0 ∶ 抓取数据包时默认抓取长度为68字节。加上-s 0 后可以抓到完整的数据包

（5）-c 100 ∶只抓取100个数据包

（6）dst port ! 22 ∶不抓取目标端口是22的数据包

（7）src net 192.168.1.0/24 ∶数据包的源网络地址为192.168.1.0/24。Net：网段，host：主机

（8）-w ./target.cap ∶ 保存成cap文件，方便用ethereal （即wireshark）分析