SNAT ve Masquerade arasındaki fark


38

Kafam karıştı, SNAT ve Masquerade arasındaki gerçek fark nedir?

İnternet bağlantımı yerel ağda paylaşmak istersem SNAT mı yoksa Masquerade mi seçmeliyim?

Yanıtlar:


41

SNATHedef hepsini giden paketlere uygulamak için bir IP adresi vermek gerektirir. MASQUERADEHedef bunu bir arabirim vermek izin verir ve bu arabirimde ne olursa olsun adres giden tüm paketlere uygulanan adresidir. Ek olarak, SNATçekirdek bağlantısı takibi, arayüz alındığında ve geri getirildiğinde tüm bağlantıları izler; Aynısı MASQUERADEhedef için de geçerli değil .

İyi belgeler , Netfilter sitesindeki HOWTO'ları ve iptablesman sayfasını içerir .


2
SNAT'ın yararını anlamakta güçlük çekiyorum. Arabirim aşağı indiğinde çekirdeğin bağlantıları izlemesi ya da izlememesi neden önemlidir? MASQUERADE ile ilgili olarak, ağ filtreleri dokümanlar "Ama daha da önemlisi, bağlantı koparsa, bağlantıların (şimdiden kaybedilmiş) unutulmuş olması, bağlantı yeni bir IP adresiyle geri döndüğünde daha az sorun oluşması anlamına gelir." Kulağa mantıklı geliyor (aksaklıklar nelerdir?) Şimdi SNAT'a baktığımızda, kaybedilen bağlantıları izlemenin faydası nedir? Neden her zaman MASQUERADE kullanmıyorsunuz?
Carl G

1
@CarlG, bir LAN düğümünden yeni bir giden bağlantı aynı LAN düğümünden kopmuş giden bağlantı ile aynı kaynak port numarasını kullandığında, sürekli izlenen -j SNAT(geri dönüşüm izlemenin tersine) ile aksaklıklar oluşacağını tahmin ediyorum -j MASQUERADE. Bu durumda, eski giden bağlantıdan gelen paketleri düğüme gönderildiğini ve TCP yığınını karıştırdığını hayal edebiliyorum. -J SNAT'ın yararına ise, NAT kutusu aynı harici IP adresiyle yapılandırılmışsa ve çekirdek, paketleri RST ile yanıtlamak yerine eski bağlantılardan iletmeye devam ederse?
eel ghEEz

Örneğin, giden arabirime atanan birden fazla IP adresiniz varsa ve NAT kaynağının bunlardan belirli bir tanesi olmasını istiyorsanız, SNAT kullanışlıdır.
pgoetz

19

Temelde SNATve MASQUERADEPOSTROUTING zincirindeki nat tablosundaki aynı NAT kaynağını yapın.

farklılıklar

  • MASQUERADE--to-sourceDinamik olarak atanmış IP'lerle çalışmak için yapıldığından gerektirmez

  • SNAT sadece statik IP'lerle çalışır, bu yüzden --to-source

  • MASQUERADEfazladan ek yükü vardır ve hedefin bir paket tarafından vurulduğu SNATher zaman MASQUERADEhedefinden daha yavaştır , kullanmak için IP adresini kontrol etmek zorundadır.

NOT : Tipik bir kullanım durumu MASQUERADE: VPC’deki AWS EC2 örneği, VPC CIDR’inde özel bir IP’ye sahiptir (örneğin, 10.10.1.0/24) - 10.10.1.100; İnternet (kamuya açık bir alt ağda olduğunu varsayalım) özel IP 1: 1 NAT olan. Genel IP, örnek yeniden başlatıldıktan sonra değişebilir (EIP değilse), MASQUERADEbu kullanım durumunda daha iyi bir seçenektir.

Önemli: MASQUERADEStatik IP ile hedef kullanmak hala mümkündür , sadece fazladan masrafa dikkat edin.

Referanslar

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.