码迷,mamicode.com
首页 > 其他好文 > 详细

iptables SNAT与伪装

时间:2019-07-13 13:53:01      阅读:118      评论:0      收藏:0      [点我收藏+]

标签:使用   动态ip   适合   离线   上线   效果   核心   连线   端口   

Source NAT(SNAT)的主要應用,是让同一內部網路上的多部主机,可共用同一条Internet实体连線.直接与Internet相连的闸道器,可使用SNAT(搭配连線追蹤)来来改写內部网络与Internet之间的来往封包的来源位址。出境封包的来源位址,会被改成闸遭器在Internet端的固定IP位址;當外界主机回复时,它们的封包的目的地位址将会是闸道器的Interne端的IP位址,所以闸道器可以拦截这些封包,将它们的目的地位址改成正确的內部主机IP位址,然后转送到內部网路。

由於SNAT必须在封包即将离开核心的前一刻,即时修改其来源位址(或通讯端口),所以SNAT规则的设置地点必须是在nat表格的POSTROUTING链结。
举例来說,假设闸道器与Internet相接的介面是ethl,則下列两种iptables命令可以达成SNAT的效果。

iptable -t nat -A POSTROUTING -o eth1 -j SNAT

iptable -t nat -A POSTROUTING -o eth1 -j MASQUERADE


第一种方法是直接使用SNAT为目标,这种方法适合用在具有固定IP地址的网关器,另一种方法是使用是使用MASQUERADE为目标,适合用于只有动态IP地址的网关器(例如,使用PPPoE协定的ADSL连线)。由于由于MASQUERADE能够应付网络界面忽然离线,然后以另一个地址恢复上线的情况,所以它转换逻辑比较复杂些,需要耗损比较多的CPU运算能力,因此,如果你有固定的IP地址,就应该尽量使用SNAT来代替MASQUERADE。

iptables SNAT与伪装

标签:使用   动态ip   适合   离线   上线   效果   核心   连线   端口   

原文地址:https://www.cnblogs.com/fanweisheng/p/11180037.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!