解析iptables中SNAT和MASQUERADE之間的區(qū)別

一、SNAT與DNAT概念
IPtables中可以靈活的做各種網(wǎng)絡地址轉(zhuǎn)換(NAT),網(wǎng)絡地址轉(zhuǎn)換主要有兩種:SNAT和DNAT。
SNAT是source network address translation的縮寫,即源地址目標轉(zhuǎn)換。比如,多個PC機使用ADSL路由器共享上網(wǎng),每個PC機都配置了內(nèi)網(wǎng)IP,PC機訪問外部網(wǎng)絡的時候,路由器將數(shù)據(jù)包的報頭中的源地址替換成路由器的ip,當外部網(wǎng)絡的服務器比如網(wǎng)站web服務器接到訪問請求的時候,他的日志記錄下來的是路由器的ip地址,而不是pc機的內(nèi)網(wǎng)ip,這是因為,這個服務器收到的數(shù)據(jù)包的報頭里邊的“源地址”,已經(jīng)被替換了,所以叫做SNAT,基于源地址的地址轉(zhuǎn)換。
DNAT是destination network address translation的縮寫,即目標網(wǎng)絡地址轉(zhuǎn)換,典型的應用是,有個web服務器放在內(nèi)網(wǎng)配置內(nèi)網(wǎng)ip,前端有個防火墻配置公網(wǎng)ip,互聯(lián)網(wǎng)上的訪問者使用公網(wǎng)ip來訪問這個網(wǎng)站,當訪問的時候,客戶端發(fā)出一個數(shù)據(jù)包,這個數(shù)據(jù)包的報頭里邊,目標地址寫的是防火墻的公網(wǎng)ip,防火墻會把這個數(shù)據(jù)包的報頭改寫一次,將目標地址改寫成web服務器的內(nèi)網(wǎng)ip,然后再把這個數(shù)據(jù)包發(fā)送到內(nèi)網(wǎng)的web服務器上,這樣,數(shù)據(jù)包就穿透了防火墻,并從公網(wǎng)ip變成了一個對內(nèi)網(wǎng)地址的訪問了,即DNAT,基于目標的網(wǎng)絡地址轉(zhuǎn)換。
二、MASQUERADE概念
MASQUERADE,地址偽裝,在iptables中有著和SNAT相近的效果,但也有一些區(qū)別,但使用SNAT的時候,出口ip的地址范圍可以是一個,也可以是多個,例如:
如下命令表示把所有10.8.0.0網(wǎng)段的數(shù)據(jù)包SNAT成192.168.5.3的ip然后發(fā)出去,
如下命令表示把所有10.8.0.0網(wǎng)段的數(shù)據(jù)包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等幾個ip然后發(fā)出去
這就是SNAT的使用方法,即可以NAT成一個地址,也可以NAT成多個地址,但是,對于SNAT,不管是幾個地址,必須明確的指定要SNAT的ip,假如當前系統(tǒng)用的是ADSL動態(tài)撥號方式,那么每次撥號,出口ip192.168.5.3都會改變,而且改變的幅度很大,不一定是192.168.5.3到192.168.5.5范圍內(nèi)的地址,這個時候如果按照現(xiàn)在的方式來配置iptables就會出現(xiàn)問題了,因為每次撥號后,服務器地址都會變化,而iptables規(guī)則內(nèi)的ip是不會隨著自動變化的,每次地址變化后都必須手工修改一次iptables,把規(guī)則里邊的固定ip改成新的ip,這樣是非常不好用的。
MASQUERADE就是針對這種場景而設計的,他的作用是,從服務器的網(wǎng)卡上,自動獲取當前ip地址來做NAT。
比如下邊的命令:
如此配置的話,不用指定SNAT的目標ip了,不管現(xiàn)在eth0的出口獲得了怎樣的動態(tài)ip,MASQUERADE會自動讀取eth0現(xiàn)在的ip地址然后做SNAT出去,這樣就實現(xiàn)了很好的動態(tài)SNAT地址轉(zhuǎn)換。
相關(guān)文章
- 這篇文章主要介紹了iptables的基本配置規(guī)則小結(jié),iptables是常用的Linux自帶的IP過濾規(guī)則系統(tǒng),需要的朋友可以參考下2015-07-30
- 這篇文章主要介紹了iptables建立規(guī)則和鏈的基本方法,iptables是常用的Linux集成的IP過濾規(guī)則系統(tǒng),需要的朋友可以參考下2015-07-30
- 這篇文章主要介紹了Linux iptables的備份和恢復操作詳解,特別使針對不同機器間的操作,需要的朋友可以參考下2015-07-03