iptables NAT

NAT(Network Address Translation)이란 주소 변환 기술으로,

사설 IP주소를 만들어 내부 망에서 공인 IP가 아니더라도 통신이 가능하게 하는 기술이다.

 

이전 글에서 cisco NAT에 대해 설명했는데, 이번에는 iptables NAT 종류에 대해 이야기하고자  한다.

2024.09.24 - [개념] - cisco NAT 

cisco NAT

## iptables는 cisco와 다르게 chain 설정이 필요하다

 

chain ?

패킷을 제어하는 위치(시점)를 지정하는 것

iptables table 명령어

rocky9(linux) 를 이용해 iptables nat 설정을 위한 구성도

IPTABLES NAT의 종류

• DNAT, SNAT
• PAT(masquerading)
• Redrect

---

1) SNAT, DNAT

1-1) static 흉내내기

iptables는 cisco와 달리 일방향이기 때문에 SNAT와 DNAT를 각각 설정하여 적용하면

cisco의 static NAT를 흉내낼 수 있다(=양방향 NAT)

 

# DNAT(Destination NAT)는 목적지 주소 변환으로,

외부에서 전달되는 요청의 목적지 주소를 서버의 사설 IP로 변환함

-j DNAT --to (변경 할 IP주소)

-> NAT Session의 시작이 ouside(외부)이다

rocky9 외부망에 인터페이스 추가

iptables DNAT 설정

iptables -t nat -L 명령을 통해 nat table 확인

외부 ping을 통해 ttl 감소 확인(DNAT 설정적용)

 

# SNAT(Source NAT)는 출발지 주소 변환으로,

내부에서 전달되는 요청의 출발지 주소를 직접 지정한 공인 IP로 변환함

-j SNAT --to (변경 할 IP주소)

-> NAT Session의 시작이 inside(내부)이다

iptables SNAT 설정 후 iptable 확인

SNAT와 DNAT 설정을 통해 양방향 NAT(cisco static NAT)의 구조 확인

---

1-2) dynamic 흉내내기

추가 주소(ens160:2,ens160:3)입력

SNAT를 범위로 지정

+

외부 통신을 위해 Default routing 설정

말단 ro9-01에서 통신 완료

---

2) PAT -> overload(X) / masquerading(O)

 

#masquerading은 조건에 일치하는 패킷의 출발지 주소를 변환으로,

내부에서 전달되는 요청의 출발지 주소를 조건에 지정된 인터페이스의 IP주소로 변환한다.

일종의 Source NAT와 비슷한 개념이지만 변환할 주소를 지정하지 않고, 인터페이스만 지정한다

   ㄴ Cisco PAT의 overload와 유사

-j MASQUERADE

출발지(SNAT) 지정하지 않음

:: 인터페이스 자체에 masquerade를 걸어버린다

x1(말단) 통신 가능

x2(말단) 통신 가능

 

---

이번에는 x1만 통신 가능하도록 SNAT(출발지 지정)

x1(말단)통신 가능

x2(말단) 통신 불가능

---

3) Redirect란, 목적지 포트를 재지정하는 것으로,

조건에 일치하는 패킷의 Port를 --to-port 옵션으로 지정된 Port로 Redirection하는 것

= PORT Forwarding

-j REDIRECT --to-port (redirect port)

DNAT를 이용한 리다이렉트 실습 : 인터페이스 주소 ens160:1추

httpd 서비스를 깔기 위해 masquerade(통신이 가능해야하니까)

httpd 서비스 설치

리다이렉션 지정 : x2에서 iptables 설정

x1에서 확인

 

-> 이후 푸티로 성공 확인했으나 캡처를 잊은 관계로 ,, 여기까지 실습 마무리,,