Jaka jest różnica między źródłowym NAT, docelowym NAT i maskowaniem?

48

Jaka jest różnica między źródłowym NAT, docelowym NAT i maskowaniem?

Na przykład myślałem, że maskowanie IP było tym, co nazywali w Linuksie? Ale myli mnie to, że w naszej zaporze sieciowej Astaro dostępne są opcje maskowania IP oraz NAT. Jaka jest różnica między nimi wszystkimi?

Matt
źródło
Jeśli zastanawiasz się nad Sophos, priorytetem jest DNAT, SNAT, Maskarada
lmf

Odpowiedzi:

71

Źródłowy NAT zmienia adres źródłowy w nagłówku IP pakietu. Może również zmienić port źródłowy w nagłówkach TCP / UDP. Typowym zastosowaniem jest zmiana prywatnego adresu / portu (rfc1918) na adres publiczny / port dla pakietów wychodzących z sieci.

Docelowy NAT zmienia adres docelowy w nagłówku IP pakietu. Może również zmienić port docelowy w nagłówkach TCP / UDP. Typowym zastosowaniem tego jest przekierowanie przychodzących pakietów z miejscem docelowym adresu publicznego / portu do prywatnego adresu IP / portu w sieci.

Maskarada jest specjalną formą Source NAT, w której adres źródłowy jest nieznany w momencie dodawania reguły do ​​tabel w jądrze. Jeśli chcesz zezwolić hostom z prywatnym adresem za zaporą na dostęp do Internetu, a adres zewnętrzny jest zmienny (DHCP), musisz tego użyć. Maskarada zmodyfikuje źródłowy adres IP i port pakietu, aby był podstawowym adresem IP przypisanym do interfejsu wychodzącego. Jeśli twój interfejs wychodzący ma statyczny adres, nie musisz używać MASQ i możesz użyć SNAT, który będzie nieco szybszy, ponieważ nie trzeba za każdym razem ustalać, jaki jest zewnętrzny adres IP.

Zoredache
źródło
Dzięki, to wyjaśnia to bardzo dobrze. Więc źródłowy nat i prawdopodobnie również maskaradowy jest równoważny słowu kluczowemu nat w ipf Freebsd, podczas gdy docelowy nat jest równoważny słowu kluczowemu rdr w ipf.
Matt
Właśnie dowiedziałem się, że w przypadku freebsd maskarada jest obsługiwana przez regułę taką jak mapa ppp0 10.0.0.0/8 -> 0/32 (gdzie 0/32 oznacza dynamiczne ip).
Matt