Tôi bối rối không biết sự khác biệt thực sự giữa SNAT và Superman là gì?
Nếu tôi muốn chia sẻ kết nối internet của mình trên mạng cục bộ thì tôi nên chọn SNAT hay masage?
Tôi bối rối không biết sự khác biệt thực sự giữa SNAT và Superman là gì?
Nếu tôi muốn chia sẻ kết nối internet của mình trên mạng cục bộ thì tôi nên chọn SNAT hay masage?
Câu trả lời:
Các SNAT
mục tiêu đòi hỏi bạn phải cung cấp cho nó một địa chỉ IP để áp dụng cho tất cả các gói tin gửi đi. Các MASQUERADE
mục tiêu cho phép bạn cung cấp cho nó một giao diện, và bất cứ địa chỉ trên giao diện đó là địa chỉ được áp dụng cho tất cả các gói tin gửi đi. Ngoài ra, với SNAT
, theo dõi kết nối của kernel theo dõi tất cả các kết nối khi giao diện được gỡ xuống và đưa lên; điều tương tự không đúng với MASQUERADE
mục tiêu
Các tài liệu tốt bao gồm các HOWTO trên trang Netfilter và iptables
trang man .
-j SNAT
(trái ngược với theo dõi tái chế với -j MASQUERADE
) khi một kết nối gửi đi mới từ một nút LAN sử dụng cùng một số cổng nguồn như kết nối đi bị cắt đứt từ cùng một nút LAN. Trong trường hợp đó, tôi có thể tưởng tượng các gói đến từ kết nối gửi đi cũ được gửi đến nút, gây nhầm lẫn ngăn xếp TCP của nó. Về lợi ích của -j SNAT, điều gì sẽ xảy ra nếu hộp NAT được cấu hình với cùng một địa chỉ IP bên ngoài và hạt nhân tiếp tục chuyển tiếp các gói từ các kết nối cũ thay vì trả lời RST?
Về cơ bản SNAT
và MASQUERADE
thực hiện cùng một điều NAT nguồn trong bảng nat trong chuỗi POSTROUTING.
Sự khác biệt
MASQUERADE
không yêu cầu --to-source
vì nó được tạo ra để hoạt động với các IP được gán động
SNAT
chỉ hoạt động với IP tĩnh, đó là lý do tại sao nó có --to-source
MASQUERADE
có thêm chi phí và chậm hơn SNAT
vì mỗi lần MASQUERADE
mục tiêu bị tấn công bởi một gói, nó phải kiểm tra địa chỉ IP để sử dụng.
LƯU Ý : Trường hợp sử dụng điển hình cho MASQUERADE
: Ví dụ AWS EC2 trong VPC, nó có IP riêng trong VPC CIDR (ví dụ: 10.10.1.0/24) - 10.10.1.100, ví dụ, nó cũng có IP công cộng để giao tiếp với Internet (giả sử nó nằm trong mạng con công cộng) thông qua IP riêng 1: 1 NAT. IP công cộng có thể thay đổi sau khi khởi động lại cá thể (nếu đó không phải là EIP), MASQUERADE
là một lựa chọn tốt hơn trong trường hợp sử dụng này.
Quan trọng: Vẫn có thể sử dụng MASQUERADE
mục tiêu với IP tĩnh, chỉ cần lưu ý thêm chi phí.
Tài liệu tham khảo