标签：iptables 封包 位址 MASQUERADE IP地址 Internet 伪装 SNAT

Source NAT(SNAT)的主要應用，是让同一內部網路上的多部主机，可共用同一条Internet实体连線．直接与Internet相连的闸道器，可使用SNAT(搭配连線追蹤)来来改写內部网络与Internet之间的来往封包的来源位址。出境封包的来源位址，会被改成闸遭器在Internet端的固定IP位址；當外界主机回复时，它们的封包的目的地位址将会是闸道器的Interne端的IP位址，所以闸道器可以拦截这些封包，将它们的目的地位址改成正确的內部主机IP位址，然后转送到內部网路。

由於SNAT必须在封包即将离开核心的前一刻，即时修改其来源位址(或通讯端口)，所以SNAT规则的设置地点必须是在nat表格的POSTROUTING链结。
举例来說，假设闸道器与Internet相接的介面是ethl，則下列两种iptables命令可以达成SNAT的效果。

iptable -t nat -A POSTROUTING -o eth1 -j SNAT
或
iptable -t nat -A POSTROUTING -o eth1 -j MASQUERADE


第一种方法是直接使用SNAT为目标，这种方法适合用在具有固定IP地址的网关器，另一种方法是使用是使用MASQUERADE为目标，适合用于只有动态IP地址的网关器(例如，使用PPPoE协定的ADSL连线）。由于由于MASQUERADE能够应付网络界面忽然离线，然后以另一个地址恢复上线的情况，所以它转换逻辑比较复杂些，需要耗损比较多的CPU运算能力，因此，如果你有固定的IP地址，就应该尽量使用SNAT来代替MASQUERADE。

标签：iptables,封包,位址,MASQUERADE,IP地址,Internet,伪装,SNAT
来源： https://www.cnblogs.com/fanweisheng/p/11180037.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。