文档章节

IPtables中SNAT和MASQUERADE的区别

完美世界
 完美世界
发布于 2014/06/05 17:14
字数 992
阅读 39
收藏 1

IPtables中SNAT和MASQUERADE的区别

IPtables中可以灵活的做各种网络地址转换(NAT)

网络地址转换主要有两种:SNAT和DNAT

SNAT是source network address translation的缩写即源地址目标转换

比如,多个PC机使用ADSL路由器共享上网

每个PC机都配置了内网IP

PC机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的ip

当外部网络的服务器比如网站web服务器接到访问请求的时候

他的日志记录下来的是路由器的ip地址,而不是pc机的内网ip

这是因为,这个服务器收到的数据包的报头里边的“源地址”,已经被替换了

所以叫做SNAT,基于源地址的地址转换

DNAT是destination network address translation的缩写即目标网络地址转换

典型的应用是,有个web服务器放在内网配置内网ip,前端有个防火墙配置公网ip互联网上的访问者使用公网ip来访问这个网站当访问的时候,客户端发出一个数据包这个数据包的报头里边,目标地址写的是防火墙的公网ip防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip然后再把这个数据包发送到内网的web服务器上这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了即DNAT,基于目标的网络地址转换MASQUERADE,地址伪装,在iptables中有着和SNAT相近的效果,但也有一些区别

但使用SNAT的时候,出口ip的地址范围可以是一个,也可以是多个,例如:

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3的ip然后发出去

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT –to-source 192.168.5.3

如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT –to-source 192.168.5.3-192.168.5.5

这就是SNAT的使用方法,即可以NAT成一个地址,也可以NAT成多个地址

但是,对于SNAT,不管是几个地址,必须明确的指定要SNAT的ip

假如当前系统用的是ADSL动态拨号方式,那么每次拨号,出口ip192.168.5.3都会改变

而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址

这个时候如果按照现在的方式来配置iptables就会出现问题了

因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的

每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip

这样是非常不好用的

MASQUERADE就是针对这种场景而设计的,他的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT

比如下边的命令:

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

如此配置的话,不用指定SNAT的目标ip了

不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做SNAT出去

这样就实现了很好的动态SNAT地址转换


注:

对于MASQUERADE,只是计算机的负荷稍微多一点。因为对每个匹配的包,MASQUERADE都要查找可用的IP地址,而不象SNAT用的IP地址是配置好的。当然,这也有好处,就是我们可以使用通过PPP、 PPPOE、SLIP等拨号得到的地址,这些地址可是由ISP的DHCP随机分配的。


© 著作权归作者所有

共有 人打赏支持
完美世界
粉丝 10
博文 151
码字总数 134011
作品 0
西城
高级程序员
Iptables中SNAT和MASQUERADE的区别

Iptables中可以灵活的做各种网络地址转换(NAT); 网络地址转换主要有两种:SNAT和DNAT. SNAT是source network address translation的缩写即源地址目标转换 比如,多个PC机使用ADSL路由器共享...

水幕青辰
2016/12/21
0
0
iptables中SNAT、DNAT和MASQUERADE的含义

转自 https://blog.csdn.net/jk110333/article/details/8229828 IPtables中可以灵活的做各种网络地址转换(NAT),网络地址转换主要有两种:SNAT和DNAT。 SNAT是source networkaddress trans...

知者不言
06/26
0
0
linux防火墙与nat

之前上学那会老师说网络设备的操作系统是基于linux开发的,当时没有概念但是当学习了linux之后体会越发的明显,特别是linux防火墙与网络设备防火墙、nat之间的关系。 在进入设备时做dnat,再...

gaofengqiang
2015/02/05
0
0
iptables 实现简单的网关服务器

首先要打开 IP 转发功能——在 文件中追加或修改一行: 使用如下命令使其立即生效: 假设本机外网 IP 为 100.100.100.100,外网段 0.0.0.0/32,内网 IP 为 192.168.1.1,内网段 192.168.1.0/...

傅易
2016/11/10
46
0
Iptables防火墙(SNAT和DNAT)

1、SNAT:源地址转换 实现内网访问外网,修改IP地址,使用POSTROUTING 命令:iptables -t nat -A POSTROUTING -s 192.168.1.10/24 -j SNAT --to-source 202.1.1.1 2、MASQUERADE:地址伪装 ...

L宝宝聊IT
08/03
0
0

没有更多内容

加载失败,请刷新页面

加载更多

70.shell的函数 数组 告警系统需求分析

20.16/20.17 shell中的函数 20.18 shell中的数组 20.19 告警系统需求分析 20.16/20.17 shell中的函数: ~1. 函数就是把一段代码整理到了一个小单元中,并给这个小单元起一个名字,当用到这段...

王鑫linux
今天
0
0
分布式框架spring-session实现session一致性使用问题

前言:项目中使用到spring-session来缓存用户信息,保证服务之间session一致性,但是获取session信息为什么不能再服务层获取? 一、spring-session实现session一致性方式 用户每一次请求都会...

WALK_MAN
今天
5
0
C++ yield()与sleep_for()

C++11 标准库提供了yield()和sleep_for()两个方法。 (1)std::this_thread::yield(): 线程调用该方法时,主动让出CPU,并且不参与CPU的本次调度,从而让其他线程有机会运行。在后续的调度周...

yepanl
今天
4
0
Java并发编程实战(chapter_3)(线程池ThreadPoolExecutor源码分析)

这个系列一直没再写,很多原因,中间经历了换工作,熟悉项目,熟悉新团队等等一系列的事情。并发课题对于Java来说是一个又重要又难的一大块,除非气定神闲、精力满满,否则我本身是不敢随便写...

心中的理想乡
今天
31
0
shell学习之获取用户的输入命令read

在运行脚本的时候,命令行参数是可以传入参数,还有就是在脚本运行过程中需要用户输入参数,比如你想要在脚本运行时问个问题,并等待运行脚本的人来回答。bash shell为此提 供了read命令。 ...

woshixin
今天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部