MASQUERADE 和 SNAT的区别

*

SNAT 是 source network address translation 的缩写，即源地址目标转换

比如，多个 PC 机使用 ADSL 路由器共享上网，每个 PC 机都配置了内网 IP

PC 机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的 ip

当外部网络的服务器比如网站 web 服务器接到访问请求的时候

他的日志记录下来的是路由器的 ip 地址，而不是 pc 机的内网 ip

这是因为，这个服务器收到的数据包的报头里边的“源地址”，已经被替换了

所以叫做 SNAT ，基于源地址的地址转换


DNAT 是 destination network address translation 的缩写

即目标网络地址转换

典型的应用是，有个 web 服务器放在内网配置内网 ip ，前端有个防火墙配置公网 ip

互联网上的访问者使用公网 ip 来访问这个网站

当访问的时候，客户端发出一个数据包

这个数据包的报头里边，目标地址写的是防火墙的公网 ip

防火墙会把这个数据包的报头改写一次，将目标地址改写成 web 服务器的内网 ip

然后再把这个数据包发送到内网的 web 服务器上

这样，数据包就穿透了防火墙，并从公网 ip 变成了一个对内网地址的访问了

即 DNAT ，基于目标的网络地址转换


MASQUERADE ，地址伪装，在 iptables 中有着和 SNAT 相近的效果，但也有一些区别

但使用 SNAT 的时候，出口 ip 的地址范围可以是一个，也可以是多个，例如：

如下命令表示把所有

10.8.0.0 网段的数据包 SNAT 成
192.168.5.3 的 ip 然后发出去

iptables 

-t nat
-A POSTROUTING
-s
10.8.0.0/255.255.255.0
-o eth0
-j SNAT
–to-source
192.168.5.3

如下命令表示把所有

10.8.0.0 网段的数据包 SNAT 成
192.168.5.3/192.168.5.4/192.168.5.5 等几个 ip 然后发出去

iptables 

-t nat
-A POSTROUTING
-s
10.8.0.0/255.255.255.0
-o eth0
-j SNAT
–to-source
192.168.5.3-192.168.5.5

这就是 SNAT 的使用方法，即可以 NAT 成一个地址，也可以 NAT 成多个地址

但是，对于 SNAT ，不管是几个地址，必须明确的指定要 SNAT 的 ip

假如当前系统用的是 ADSL 动态拨号方式，那么每次拨号，出口 ip192.168.5.3 都会改变

而且改变的幅度很大，不一定是

192.168.5.3 到
192.168.5.5 范围内的地址

这个时候如果按照现在的方式来配置 iptables 就会出现问题了

因为每次拨号后，服务器地址都会变化，而 iptables 规则内的 ip 是不会随着自动变化的

每次地址变化后都必须手工修改一次 iptables ，把规则里边的固定 ip 改成新的 ip

这样是非常不好用的

MASQUERADE 就是针对这种场景而设计的，他的作用是，从服务器的网卡上，自动获取当前 ip 地址来做 NAT

比如下边的命令：

iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE

如此配置的话，不用指定 SNAT 的目标 ip 了

不管现在 eth0 的出口获得了怎样的动态 ip ， MASQUERADE 会自动读取 eth0 现在的 ip 地址然 后做 SNAT 出去

这样就实现了很好的动态 SNAT 地址转换

*