КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Действие DNAT
|
|
|
|
Действие SNAT
SNAT используется для преобразования сетевых адресов (Source Network Address Translation), то есть изменение исходящего IP адреса в IP заголовке пакета (таблица 3.23). Например, это действие можно использовать для предоставления выхода в Интернет другим компьютерам из локальной сети, имея лишь один уникальный IP адрес. Для этого необходимо включить пересылку пакетов (forwarding) в ядре ОС МСВС и затем создать правила, которые будут транслировать исходящие IP адреса локальной сети в реальный внешний адрес.
SNAT допускается выполнять только в таблице NAT, в цепочке POSTROUTING. Другими словами, только здесь допускается преобразование исходящих адресов. Если первый пакет в соединении подвергся преобразованию исходящего адреса, то все последующие пакеты, из этого же соединения, будут преобразованы автоматически и не пойдут через эту цепочку правил.
Таблица 3.23. Действие SNAT
| Ключ | Пример | Описание |
| --to-source | iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000 | Ключ --to-source используется для указания адреса, присваиваемого пакету. Все просто, вы указываете IP адрес, который будет подставлен в заголовок пакета в качестве исходящего. Дополнительно можно указать диапазон портов, которые будут использоваться только для нужд SNAT. Все исходящие порты будут после этого отображаться в заданный диапазон. iptables старается, по возможности избегать отображения портов, однако не всегда это возможно, и тогда производится отображение. Если диапазон портов не задан, то исходные порты ниже 512 отображаются в диапазоне 0-511, порты в диапазоне 512-1023 отображаются в диапазон 512-1023, и, наконец, порты из диапазона 1024-65535 отображаются в диапазон 1024-65535. Что касается портов назначения, то они не подвергаются отображению. |
DNAT (Destination Network Address Translation) используется для преобразования адреса места назначения в IP заголовке пакета (таблица 3.24). Если пакет подпадает под критерий правила, выполняющего DNAT, то этот пакет, и все последующие пакеты из этого же потока, будут подвергнуты преобразованию адреса назначения и переданы на требуемое устройство, хост или сеть. Данное действие может, к примеру, успешно использоваться для предоставления доступа к web-серверу, находящемуся в локальной сети, и не имеющему реального IP адреса. Для этого следует построить правило, которое перехватывает пакеты, идущие на HTTP порт МСЭ и, выполняя DNAT, передавать их на локальный адрес web-сервера. Для этого действия так же можно указать диапазон адресов, тогда выбор адреса назначения для каждого нового потока будет производиться случайным образом.
|
|
|
Действие DNAT может выполняться только в цепочках PREROUTING и OUTPUT таблицы NAT, и во вложенных подцепочках. Важно запомнить, что вложенные подцепочки, реализующие DNAT, не должны вызываться из других цепочек, кроме PREROUTING и OUTPUT.
Таблица 3.24. Действие DNAT
| Ключ | Пример | Описание |
| --to-destination | iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10 | Ключ --to-destination указывает, какой IP адрес должен быть подставлен в качестве адреса места назначения. В выше приведенном примере во всех пакетах, пришедших на адрес 15.45.23.67, адрес назначения будет изменен на один из диапазона от 192.168.1.1 до 192.168.1.10. Как уже указывалось выше, все пакеты из одного потока будут направляться на один и тот же адрес, а для каждого нового потока будет выбираться один из адресов в указанном диапазоне случайным образом. Можно также определить единственный IP адрес. Можно дополнительно указать порт или диапазон портов, на который (которые) будет перенаправлен трафик. Для этого после IP адреса через двоеточие укажите порт, например --to-destination 192.168.1.1:80, а указание диапазона портов выглядит так: --to-destination 192.168.1.1:80-100. Как можно видеть, синтаксис действий DNAT и SNAT во многом схож. Не следует забывать, что указание портов допускается только при работе с протоколом TCP или UDP, при наличии опции --protocol в критерии. |
|
|
|
|
|
|
|
Дата добавления: 2014-01-15; Просмотров: 341; Нарушение авторских прав?; Мы поможем в написании вашей работы!