开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

mikrotik在dst-nat中更改src标头ip

MikroTik是一家致力于开发网络设备和软件的公司。他们提供了一系列的路由器、交换机、无线设备和操作系统，其中最为知名的是RouterOS。在RouterOS中，Dst-NAT（目标网络地址转换）是一种网络地址转换技术，用于在数据包通过路由器或防火墙时更改数据包的目标地址。

在Dst-NAT中更改源头IP标头是指在数据包通过路由器或防火墙时，将数据包的源IP地址进行修改。这种技术可以用于网络中的多种场景，例如：

加密隧道：通过修改源IP地址，可以实现对传输数据的加密，提高网络的安全性。
负载均衡：通过修改源IP地址，可以将流量分发到多个服务器上，实现负载均衡，提高系统的性能和可用性。
地理位置伪装：通过修改源IP地址，可以隐藏实际的网络设备位置，增加网络的安全性。
数据包重定向：通过修改源IP地址，可以将特定类型的数据包重定向到其他设备或网络，实现网络流量的优化。

对于MikroTik的用户，可以使用RouterOS提供的NAT规则配置功能实现Dst-NAT中更改源头IP标头。具体操作步骤如下：

登录到MikroTik路由器的Web界面或使用命令行界面。
进入“IP”菜单，选择“Firewall”选项。
在“NAT”选项卡下，点击“+”按钮创建一个新的NAT规则。
在规则设置中，将“Chain”设置为“dst-nat”。
在“Action”设置中，选择“dst-nat”。
在“To Addresses”设置中，填写要转发到的目标IP地址。
在“To Ports”设置中，填写要转发到的目标端口号。
在“Protocol”设置中，选择要转发的协议类型（如TCP、UDP）。
在“Dst Address”设置中，填写需要转发的目标IP地址。
在“Dst Port”设置中，填写需要转发的目标端口号。
在“In. Interface”设置中，选择要应用这个规则的入接口。
在“Out. Interface”设置中，选择要应用这个规则的出接口。
点击“OK”按钮保存并应用这个NAT规则。

在MikroTik路由器上，可以使用Dst-NAT来更改数据包的源IP地址，以实现网络转发、负载均衡等功能。对于更多详细的配置和使用说明，可以参考腾讯云的相关产品和文档，例如：

腾讯云云服务器（CVM）：https://cloud.tencent.com/product/cvm
腾讯云负载均衡（CLB）：https://cloud.tencent.com/product/clb
腾讯云安全组：https://cloud.tencent.com/product/cfw
腾讯云弹性公网IP（EIP）：https://cloud.tencent.com/product/eip
腾讯云NAT网关：https://cloud.tencent.com/product/natgateway

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

RouterOS(ros)与云上VPC通过IPsec实现内网互通 - 涵盖GUI/CLI两种配置方式

ipsec诞生于20世纪90年代，迄今为止，在实现内网互通解决方案中ipsec都是较为常用的。不少网关设备都会考虑集成ipsec的能力，ros便是如此，它作为一个软路由系统，支持的ipsec算法较为完善，本文将以GUI、CLI两种方式讲解ros的ipsec配置，与云上VPC网络实现内网互通。

使用MikroTik产品-解决NS游戏联机问题②

在上一次我们聊了基础的网络配置已经可以正常上网了，但在日常使用中你可能还会遇到以下几个问题：

01

Lighthouse Router （一）：在腾讯云轻量应用服务器上安装 MikroTik RouterOS 并配置简单的端口转发

RouterOS 是由 MikroTik 公司开发的基于 Linux 内核的路由操作系统，是目前功能较强、应用较广的一款软路由系统，适用于中小企事业单位、网吧、宾馆和运营商。通过该软件可以将标准的 PC 电脑变成专业路由器，在软件的开发和应用上可以不断地更新和发展，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。从镜像上，RouterOS 分为物理机使用的标准 RouterOS 镜像、适用于虚拟化平台的 Cloud Hosted Router 镜像和适用于交换机的 SwitchOS 镜像。　　本文旨在指导将 RouterOS CHR 安装到腾讯云轻量应用服务器，通过 WinBox 连接并管理 RouterOS 以及配置简单的端口转发。需要注意的是，本文所操作的服务器均位于中国大陆境外，从国内出发的数据包将正常经过国际出口，符合相关法律法规。

04

Lighthouse Router (1): 在腾讯云轻量应用服务器上安装RouterOS并配置简单的端口转发

RouterOS 是由 MikroTik 公司开发的基于 Linux 内核的路由操作系统，是目前功能较强、应用较广的一款软路由系统，适用于中小企事业单位、网吧、宾馆和运营商。通过该软件可以将标准的 PC 电脑变成专业路由器，在软件的开发和应用上可以不断地更新和发展，使其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能，其极高的性价比，受到许多网络人士的青睐。从镜像上，RouterOS 分为物理机使用的标准 RouterOS 镜像、适用于虚拟化平台的 Cloud Hosted Router 镜像和适用于交换机的 SwitchOS 镜像。

01

Python-对Pcap文件进行处理，获

通过对TCP/IP协议的学习，本人写了一个可以实现对PCAP文件中的IPV4下的TCP流提取，以及提取指定的TCP流，鉴于为了学习，没有采用第三方包解析pcap，而是对bytes流进行解析，其核心思想为：若想要提取TCP Content，需在下层的IPV4协议中判断Protocol是否为TCP，然后判断下层的以太网协议的Type是否为IPV4协议（此处的IPV4判断，只针对本人所写项目）；对于指定流需要获取Client以及Server的[IP,PORT]。

02

CVE-2020-16898：Windows TCP/IP远程代码执行复现

TCP/IP是指能够在多个不同网络间实现信息传输的协议簇。TCP/IP协议不仅仅指的是TCP和IP两个协议，而是指一个由FTP、SMTP、TCP、UDP、IP等协议构成的协议簇，只是因为在TCP/IP协议中TCP协议和IP协议最具代表性，所以被称为TCP/IP协议。

03

memmove函数和memcpy函数的模拟实现

他的函数所需参数如下 1.函数memcpy从source的位置开始向后复制num个字节的数据destination 指向的内存位置。 2.这个函数在遇到 ‘\0’ 的时候并不会停下来。 3.如果source和destination有任何的重叠，复制的结果都是未定义的

01

Re2Pcap：由原始http请求响应创建pcap数据包

Re2Pcap是英文单词Request2Pcap和Response2Pcap的缩写。Community版的用户可以使用Re2Pcap快速的创建PCAP文件，并根据Snort规则对其进行测试。

02

数据包处理利器——Scapy高级使用(一)

IP与端口号之间以'.'分隔，ACK用'.'表示，SYN用'S'表示，而[S.]则表示SYN+ACK

03

golang使用原始套接字构造UDP包

RAW SOCKET 介绍 TCP/IP协议中，最常见的就是原始(SOCKET_RAW)、tcp(SOCKET_STREAM)、udp(SOCKET_DGRA)三种套接字。原始套接字能够对底层传输进行控制，允许自行组装数据包，比如修改本地IP，发送Ping包，进行网络监听。这里不做详细介绍，要了解更多可以网上自己查询。实现这里先看IP头结构：其中16位总长度包括IP头长度和数据的长度，8位协议填写17，因为UDP协议类型为17。这里要说明一下IP头中的首部校验，这个值只校验IP头部，不包含数据。这里

05

使用MikroTik产品配置我们的上网环境①

首先我们下载routeros的图形化配置工具winbox https://mikrotik.com/download 目前最新版本为3.18 并且只有exe版本，如果没有windows的同学请先安装wine来启动此程序。

02

模拟实现memcpy，memmove,memset,memcmp

void * memcpy ( void * destination, const void * source, size_t num );

01

calico跨网段不通_多对网桥ip地址相同

Calico 是一个基于BGP协议的网络互联解决方案。它是一个纯3层的方法，使用路由来实现报文寻址和传输。相比 flannel, ovs等SDN解决方案，Calico 避免了层叠网络带来的性能损耗。将节点当做 router ，位于节点上的 container 被当做 router 的直连设备。利用 Kernel 来实现高效的路由转发。节点间的路由信息通过 BGP 协议在整个 Calico 网络中传播。具有以下特点： 1. 在 calico 中的数据包不需要进行封包和解封。 2. 基于三层网络通信，troubleshoot 会更方便。 3. 网络安全策略使用 ACL 定义，基于 iptables 实现，比起 overlay 方案中的复杂机制更只管和容易操作。

02

网络协议之:haproxy的Proxy Protocol代理协议

代理大家应该都很熟悉了，比较出名的像是nginx,apache HTTPD，stunnel等。

02

以非侵入方式构建Kubernetes应用程序的网络拓扑

一个 Kubernetes 应用程序在逻辑上分成两部分：一部分是计算资源（由 pod 表示），另一部分提供对应用程序的访问（由服务表示）。应用程序客户端可以使用抽象名称访问它，而无需关心实际上有哪个 pod 处理请求。并且，由于单个服务可能有多个 pod 作为后端，因此它还充当负载平衡器的角色。在默认的 Kubernetes 部署中，此负载平衡功能使用非常简单的 iptables 或 Linux IPVS 来实现——两者都在 L4（比如 TCP）层工作，并且执行朴素的、基于随机的循环机制。当然，云提供商还可以提供更传统的负载平衡解决方案来公开应用程序，但我们先从简单的开始。

01

conntrack检查和修改跟踪的连接

连接跟踪子系统跟踪已看到的所有数据包流，运行“sudo conntrack -L”以查看其内容：

02

带你摸透C语言相关内存函数

memset是用来设置内存的，将内存中的值以字节为单位设置成想要的内容。下面我们用一串代码来展示一下它的作用。

01

一次有趣的 Docker 网络问题排查经历

前段时间公司的安卓打包服务出现问题，现象是在上传 360 服务器进行加固的时候，非常大概率会卡在上传阶段，长时间重试最后失败。我对这个情况进行了一些排查分析，解决了这个问题，写了这篇长文复盘了排查的经历，会涉及到下面这些内容。

02

一次有趣的 Docker 容器网络排查

前段时间公司的安卓打包服务出现问题，现象是在上传 360 服务器进行加固的时候，非常大概率会卡在上传阶段，长时间重试最后失败。我对这个情况进行了一些排查分析，解决了这个问题，写了这篇长文复盘了排查的经历，会涉及到下面这些内容。

02

数据包处理利器——Scapy基础知识

Scapy是功能强大的交互式数据包处理程序。它能够伪造或解码各种协议的数据包，在线发送，捕获，匹配请求和响应等。它可以轻松处理大多数经典任务，例如扫描，跟踪路由，探测，单元测试，攻击或网络发现，它可以代替hping，arpspoof，arp-sk，arping，p0f甚至Nmap，tcpdump和tshark的某些部分。。它在其他工具无法处理的许多其他特定任务上也表现出色，例如发送无效帧，组合技术（VLAN跳变+ ARP缓存中毒，WEP加密通道上的VOIP解码等等）

01

利用 Redsocks 解决透明代理的远程抓包问题

最近在做一些远程设备的抓包能力建设。具体来说是设备（基于 Docker 的 Redroid 云手机）在服务器上，抓包工具在本地（ Mitmproxy , Charles, Fiddler 等类似工具），希望通过某种方法将远程设备上的流量打到本地的抓包工具上，并且流量通过本地的 IP 出到公网。

02

ViVADO HLS 图像的获取

OPENCV（Open Source Computer Vision）被广泛的使用在计算机视觉开发上。使用VIVADO HLS视频库在zynq-7000全可编程soc上加速OPENCV 应用的开发，将大大提升我们的计算机视觉开发。

03

盘点一款Python发包收包利器——scapy

众所周知，我们每天上网都会有很多数据包需要发送，然后处理在接受在发送，这样一个循环往复的过程，

02

Istio 中实现客户端源 IP 的保持

尹烨，腾讯专家工程师，腾讯云 TCM 产品负责人。在 K8s、Service Mesh 等方面有多年的实践经验。导语对于很多后端服务业务，我们都希望得到客户端源 IP。云上的负载均衡器，比如，腾讯云 CLB 支持将客户端源IP传递到后端服务。但在使用 istio 的时候，由于 istio ingressgateway 以及 sidecar 的存在，后端服务如果需要获取客户端源 IP，特别是四层协议，情况会变得比较复杂。正文很多业务场景，我们都希望得到客户端源 IP。云上负载均衡器，比如，腾讯云 C

02

收集各类安全设备、Nginx日志实现日志统一管理及告警

近来安全测试项目较少,想着把安全设备、nginx日志收集起来并告警, 话不多说,直接说重点,搭建背景:

07

原始套接字和流量嗅探

《Python黑帽子：黑客与渗透测试编程之道》的读书笔记，会包括书中源码，并自己将其中一些改写成Python3版本。书是比较老了，anyway，还是本很好的书

02

C语言：内存函数

1、函数memcpy从source的位置开始向后复制num个字节的数据到destination指向的内存位置。

01

linux内核发包工具,Linux内核发包工具pktgen测试方案说明「建议收藏」

pktgen是Linux内核里包含的一个高性能发包工具，主要用来测试网络性能。一般情况下，使用pktgen就可以满足千兆网卡的测试需要。 pktgen运行在“内核态”，并不占用太多的系统资源，就可以达到非常高的发包速率。

01

lsof和tcpdump常用命令

lsof用法 A.查看端口被谁占用 lsof -i:port，如：lsof -i:80 B.查看tcp监听端口 netstat -lpnt C.查看udp监听端口 netstat -lpnu D.查看本机IP netstat -ie E.lsof高级用法 lsof -i [46][protocol][@hostname|hostaddr][:service|port] 46表示ipv4和ipv6，protocol取值为tcp或udp， hostname主机名，hostaddr为IP地址， service为/etc/service中定义的service名，可以不止一个， port也可以不止一个示例1：lsof -i4 示例2：lsof -i 4udp@127.0.0.1:7778 更详细细节可以“man lsof”搜索“hostname”。 F.显示开启文件abc.txt的进程 lsof abc.txt G.显示abc进程现在打开的文件 lsof -c abc 显示abc进程现在打开的文件 H.显示目录下被进程开启的文件 lsof +d /usr/local/ I.显示使用fd为4的进程 lsof -d 4 J.以UID，列出打开的文件 lsof -u username K.看进程号为12的进程打开了哪些文件 lsof -p 12 看进程号为12的进程打开了哪些文件 L.反复执行，默认15秒刷新一次 ls -r 死循环执行，直到被信号中断示例：lsof -i:10888 更改刷新频率为2秒：lsof -i:10888 -r 2 ls +r 死循环执行，直到没有结果，如已没有程序占用端口号10888 示例：lsof -i:10888 +r 2 //////////////////////////////////////////////////////////// tcpdump用法 1.监听指定网卡 tcpdump -i eth1 2.监听指定UDP端口 tcpdump udp port 10888 3.监听指定TCP端口 tcpdump tcp port 80 4.监听A和B或A和C间的通讯 tcpdump host A and \(B or C \) 如：tcpdump host 127.0.0.1 and \(127.0.0.1 or 110.240.110.18 \) 5.监听A的所有通讯，但不包括A和B的 tcpdump ip A and not B 6.监听A发出的所有包 tcpdump -i eth1 src host A 7.监听所有发送到B的包 tcpdump -i eth1 dst host B 8.监听A收到或发出的所有http包 tcpdump tcp port 80 and host A 9.列出tcpdump能够监听的网卡 tcpdump -D 10.监听所有网卡，要求2.2或更高版本内核 tcpdump -i any 11.详细显示捕获的信息 tcpdump -v 更详细可以使用tcpdump -vv和tcpdump -vvv 12.以十六进制和ASCII方式打印包，除了连接层头 tcpdump -v -X 13.以十六进制和ASCII方式打印包，包括连接层头 tcpdump -v -XX 14.限制捕获100个包 tcpdump -c 100 15.将记录写入文件 tcpdump -w filename.log 16.使用IP代替域名 tcpdump -n 17.捕获每个包的100字节而不是默认的68字节 tcpdump -s 500 如果要捕获所有字节则为tcpdump -s 0 18.捕获所有广播或多播包 tcpdump -n "broadcast or multicast" 19.捕获所有icmp和arp包 tcpdump -v "icmp or arp" 20.捕获arp包 tcpdump -v arp 21.捕获目标地址是192.168.0.1，端口是80或443的包 tcpdump -n "dst host 192.168.0.1 and (dst port 80 or dst port 443)" 22.捕获目标端口号在1-1023间的UDP包 tcpdump -n udp dst portrange 1-1023 如果是tcp则改成：tcpdump -n tcp dst portrange 1-1023 23.捕获目标端口号为23的包 tcpdump

02

ROS端口映射的几个做法

方法1(接口方法) / ip firewall nat add chain=dstnat in-interface=adsl接口名 protocol=tcp dst-port=要开放的外网端口 \ action=dst-nat to-addresses=要映射的内网IP地址 to-ports=要映射的内网端口 comment=”” \ disabled=no

03

网络地址转换NAT原理

NAT 英文全称是 Network Address Translation，中文意思是“网络地址转换”;

04

网络地址转换NAT原理及其作用「建议收藏」

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。

03

tcpdump使用技巧（转载）

很早就用过Wireshark进行抓包分析，但当时写过滤表达式很是一知半解，多半是从网上抄来的，根本没理解过滤表达式的含义。今天有幸看到一篇tcpdump入门使用技巧，看了下感觉挺好，终于知道到底怎么写过滤表达式了，这里转载过来备忘一下。

01

在CentOS上使用strongSwan搭建IPsec V P N服务

客户业务在往腾讯云迁移的过程中，因为两边的数据需要同步，所以需要建立站点到站点的IPsec V**连接，由于某些公司没有V**设备或者其他云不支持V** Gateway产品的时候，就需要我们自己搭建IPsec V**服务。

08

连接跟踪（conntrack）：原理、应用及 Linux 内核实现

本文介绍连接跟踪（connection tracking，conntrack，CT）的原理，应用，及其在 Linux 内核中的实现。

08

基于Opencv的图像单应性转换实战

我们所常见的都是以这样的方式来处理图像：检测斑点，分割感兴趣的对象等。我们如何将它们从一种形式转换为另一种形式来处理这些图像呢？通过单应矩阵快速转换图像可以实现这个需求。

02

基于Opencv的图像单应性转换实战

我们所常见的都是以这样的方式来处理图像：检测斑点，分割感兴趣的对象等。我们如何将它们从一种形式转换为另一种形式来处理这些图像呢？通过单应矩阵快速转换图像可以实现这个需求。

02

Python 抓取并解码原始数据包

应用Python支持的混杂模式，抓取流经网卡的数据包，并对IP以及ICMP数据包进行拆包，打印出我们所需要的字段信息。

04

绕过防火墙过滤规则传输ICMP

ICMP和ICMPv6是Internet的主要协议。这些协议设计用于在数据包未到达目的地时进行连接测试和错误信令。接收ICMP消息让应用程序了解故障原因：数据包太大，没有可用路由等。

05

python伪造udp数据包

#!/usr/bin/python #coding:utf-8 import socket import struct from random import randint def checksum(data): s = 0 n = len(data) % 2 for i in range(0, len(data) - n, 2): s += ord(data[i]) + (ord(data[i + 1]) << 8) if n: s +

01

Kubernetes IPVS 工作模式原理剖析

在 iptables 工作模式下，iptables 中 KUBE-SEP-XXX 链上规则和 Pod 数量成正比，当集群规模增大（10000 个 Pod 以上）时每个 k8s 节点上 iptables 规则会快速上升，从而影响集群 Service 的连接速度以及 CPU 资源消耗。

01

iptables MASQUERADE 如何选择源IP

原文发表在 http://shumh.net/posts/net/2022-10-14-masquerade/

02

Linux中的conntrack命令深入解析

在Linux网络管理和监控领域，conntrack命令是一个强大的工具，它提供了对netfilter连接跟踪系统的直接访问🔍。这篇文章将深入探讨conntrack的由来、底层原理、参数意义，以及其常见用法，并对返回结果的每个字段进行详细解释。

01

tcpdump命令使用简介

tcpdump 是一款强大的网络抓包工具，运行在 linux 平台上。熟悉 tcpdump 的使用能够帮助你分析、调试网络数据。

01

OpenCV导向滤波（引导滤波）实现（Guided Filter）代码，以及使用颜色先验算法去雾

论文下载地址：http://research.microsoft.com/en-us/um/people/jiansun/papers/GuidedFilter_ECCV10.pdf

01

pythonpcap原生python读取

本文代码都由python编写，无需安装第三方拓展库，代码更新:https://github.com/mengdj/python

01

使用tcpdump抓包分析网络请求_抓包报文分析

tcpdump是一个用于截取网络分组，并输出分组内容的工具，简单说就是数据包抓包工具。tcpdump凭借强大的功能和灵活的截取策略，使其成为Linux系统下用于网络分析和问题排查的首选工具。 tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。更多的tcpdump

03

Learning VPP: VXLAN tunnel

VXLAN（Virtual eXtensible Local Area Network，虚拟扩展局域网），是由IETF定义的NVO3（Network Virtualization over Layer 3）标准技术之一，是对传统VLAN协议的一种扩展。VXLAN的特点是将L2的以太帧封装到UDP报文（即L2 over L4）中，并在L3网络中传输.

02

使用libyuv对YUV数据进行缩放，旋转，镜像，裁剪等操作

在Android做过自定义Camera的朋友应该都知道，我们可以通过public void onPreviewFrame(byte[] data, Camera camera)回调中获取摄像头采集到的每一帧的数据，但是这个byte[] data的数据格式YUV的，并不能直接给我们进行使用，那么该通过什么样的方法对这个YUV数据进行处理呢？

02

tcpdump

tcpdump命令是一款sniffer工具，它可以打印所有经过网络接口的数据包的头信息，也可以使用-w选项将数据包保存到文件中，方便以后分析。来自: http://man.linuxde.net/tcpdump

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭