呵呵,我来说一点吧,很多人好像看起来都有点晕了
不过这些概念确实比较麻烦的说
我先说IP伪装,为什么是IP伪装,简单的说就是
把内部地址映射到外部网络的一个IP地址的不同端口上
比如:
SRC 192.168.0.1:1234
DST 202.117.112.115:80
公网IP为222.222.222.222
这是一个192.168.0.1的主机通过自己的1234端口想查看202.117.112.115主机的网页
通过IP伪装,则会发生
SRC 222.222.222.222:65535
DST 202.117.112.115:80
源地址和源端口被修改.其实每个路由器在设定了伪装NAT表后,每次都会通过伪装NAT进行处理数据包
这就是在ROS的里面的src-nat伪装(masqurade)
那么dst-nat和src-nat正好相反,它把目的地址进行伪装
假设202.117.112.115想访问内部网络192.168.0.5的主机的http服务
因为192.168.0.5没有合法地址,但是222.222.222.222有,于是我们想办法192.168.0.5:80映射到
222.222.222.222的80端口上,于是202.117.112.115这个地址的IP包到达222.222.222.222后
ros就会修改IP包的目的地址和端口(因为都是80所以,这里没有修改),源地址还是202.117.112.115
但是目的地址变了,变成了192.168.0.5
这就是dst-nat
那么IP伪装和pooled nat有什么区别?
我们先看NAT的类型
3种 1.静态 static nat 永久映射内部的主机为外网地址
2.动态 pooled nat 在外部定义一系列合法地址,在内网主机需要时临时分配,用户断开即收回地址
有点类似dhcp
例如:外部合法地址:222.222.222.222-222.222.222.225
内部地址: 192.168.0.2-192.168.0.254
如果内网192.168.0.2主机拨号请求,
则从222.222.222.222- 222.222.222.225地址,
随机分配一个地址给192.168.0.2,拨号断开收回地址
3.网络地址端口转换 Port-Level Nat(这是最常用的)
它和静态的区别就是可以选定运输层协议的端口
那么回流是什么意思?
这里引用timespace朋友帖子里面的
"回流",引用一段文字--"什么叫回流呢,就是当内网有服务映射到网关后,内网主机也可以用网关外部地址访问"
通俗的说.假设192.168.0.5这台机器开了http服务,端口映射到222.222.222.222:80上
则任何一个外网合法用户都可以通过http://222.222.222.222:80来享受192.168.0.5
这个主机的http服务,那么现在我希望同一网段的192.168.0.6这个用户,也想通过
http://222.222.222.222:80这样的形式享受192.168.0.5这个主机提供的http服务
怎么办?这个时候就需要回流!
也许你会问,我为什么不直接使用http://192.168.0.5 这样的形式访问还快些?
但是你想过没有,如果这两个地址不在一个vlan里面而且设定了 ACL不允许直接访问,这个时候你怎么办?
1648
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
