Iptables 下 SNAT、DNAT和MASQUERADE三者之间的区别
Iptables 中可以灵活的做各种网络地址转换(NAT,Network Address Translation)
网络地址转换(NAT)主要有两种:SNAT 和 DNAT,但是也有一种特例 MASQUERADE (即,地址伪装)。
1、SNAT
SNAT 是 Source Network Address Translation 的缩写,即源地址目标转换。
典型应用:
多个PC机使用ADSL路由器共享上网
每个PC机都配置了内网IP
PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip
当外部网络的服务器比如网站web服务器接到访问请求的时候
他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip
这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了
所以叫做SNAT,基于源地址的地址转换
2、DNAT
DNAT 是 Destination Network Address Translation 的缩写,即目标网络地址转换。
典型应用:
有个web服务器放在内网配置内网ip,
前端有个防火墙配置公网ip互联网上的访问者使用公网ip来访问这个网站当访问的时候,
客户端发出 一个数据包这个数据包的报头里边,
目标地址写的是防火墙的公网ip防火墙会把这个数据包的报头改写一次,
将目标地址改写成web服务器的内网ip然后再把 这个数据包发送到内网的web服务器上这样,
数据包就穿透了防火墙,
并从公网ip变成了一个对内网地址的访问了即DNAT,基于目标的网络地址转换
3、MASQUERADE
MASQUERADE,地址伪装,在 iptables 中有着和 SNAT 相近的效果,但也有一些区别:
SNAT,DNAT,MASQUERADE都是 NAT,MASQUERADE 是 SNAT 的一个特例。
- SNAT 是指在数据包从网卡发送出去的时候,把数据包中的源地址部分替换为指定的 IP,这样,接收方就认为数据包的来源是被替换的那个 IP 的主机;
- MASQUERADE 是用发送数据的网卡上的 IP 来替换源 IP,因此,对于那些IP不固定的场合,比如拨号网络或者通过 dhcp 分配IP的情况下,就得用 MASQUERADE;
- DNAT,就是指数据包从网卡发送出去的时候,修改数据包中的目的 IP,表现为如果你想访问 A,可是因为网关做了 DNAT,把所有访问 A 的数据包的目的IP全部修改为 B,那么,你实际上访问的是B;
- 因为,路由是按照目的地址来选择的,因此,DNAT 是在 PREROUTING 链上来进行的,而 SNAT 是在数据包发送出去的时候才进行,因此是在 POSTROUTING 链上进行的。
4、MASQUERADE 与 SNAT 的区别
使用 SNAT 的时候,出口 IP 的地址范围可以是一个,也可以是多个。
举个例子:
# 如下命令表示把所有 10.8.0.0 网段的数据包 SNAT 成 192.168.5.3 的 IP 然后发出去:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3 # 如下命令表示把所有 10.8.0.0 网段的数据包 SNAT 成 192.168.5.3/192.168.5.4/192.168.5.5 等几个ip然后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5
这就是 SNAT 的使用方法,即可以NAT成一个地址,也可以NAT成多个地址
但是,对于 SNAT,不管是几个地址,必须明确的指定要 SNAT 的 IP
假如当前系统用的是 ADSL 动态拨号方式,那么每次拨号,出口 ip 192.168.5.3 都会改变
而且改变的幅度很大,不一定是 192.168.5.3 到 192.168.5.5 范围内的地址
这个时候如果按照现在的方式来配置 iptables 就会出现问题了
因为每次拨号后,服务器地址都会变化,而 iptables 规则内的 ip 是不会随着自动变化的
每次地址变化后都必须手工修改一次 iptables,把规则里边的固定 ip 改成新的 ip
这样是非常不好用的
MASQUERADE 就是针对这种场景而设计的,它的作用是,从服务器的网卡上,自动获取当前 ip 地址来做 NAT
比如下边的命令:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
如此配置的话,不用指定SNAT的目标ip了
不管现在 eth0 的出口获得了怎样的动态 ip,MASQUERADE 会自动读取 eth0 现在的 ip 地址然后做 SNAT 出去
这样就实现了很好的动态 SNAT 地址转换
注:
对于 MASQUERADE,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE 都要查找可用的 IP 地址,而不象 SNAT 用 的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由 ISP 的 DHCP 随机分配的。
最新文章
- spring mvc DispatcherServlet详解之前传---FrameworkServlet
- 12306火车票查询--python
- SQL Server删除distribution数据库二
- [你必须知道的NOSQL系列]专题一:MongoDB快速入门
- 2013年最新流行的响应式 WordPress 主题【下篇】
- C#读写Json
- Python核心编程-基础2
- ZOJ 2563 Long Dominoes(状态压缩DP)
- windows azure programing
- LaTeX排版工具使用
- Xcode中iOS模拟器程序中的plist路径
- linux常用系统指令
- 为什么选择 Intellij IDEA 作为日常开发工具
- 搭建一个简单的Eureka程序
- IDLE提供的常用快捷键
- .Net MVC4 log4net的配置
- javascript日期格式yyyyMMddHHmmss
- package.json文件配置信息
- ubuntu下安装、破解securtCRT工具
- 03.基于IDEA+Spring+Maven搭建测试项目--常用dependency