Мене бентежить, яка насправді різниця між SNAT та Маскарадом?
Якщо я хочу поділитися своїм Інтернет-з'єднанням у локальній мережі, то чи слід вибрати SNAT або Masquerade?
Мене бентежить, яка насправді різниця між SNAT та Маскарадом?
Якщо я хочу поділитися своїм Інтернет-з'єднанням у локальній мережі, то чи слід вибрати SNAT або Masquerade?
Відповіді:
SNAT
Мета вимагає від вас , щоб дати йому IP - адреса , щоб застосувати до всіх вихідних пакетів. MASQUERADE
Мета дозволяє надати йому інтерфейс, і все , що адреса на цьому інтерфейсі адреса , який застосовується до всіх вихідних пакетів. Крім того, з SNAT
, відстеження з'єднання ядра відслідковує всі з'єднання, коли інтерфейс знімається та повертається назад; те ж саме не стосується MASQUERADE
цілі.
Хороші документи включають HOWTO на веб-сайті Netfilter та iptables
man man .
-j SNAT
(на відміну від відстеження повторної переробки -j MASQUERADE
), коли нове вихідне з'єднання з вузла локальної мережі використовує той самий номер вихідного порту, що і розірване вихідне з'єднання з того ж вузла локальної мережі. У цьому випадку я можу уявити вхідні пакети зі старого вихідного з'єднання, що надсилаються до вузла, переплутуючи його стек TCP. Що стосується переваги -j SNAT, що робити, якщо NAT-поле встановлено з однаковою зовнішньою IP-адресою і ядро зберігає пересилання пакетів зі старих з'єднань замість відповіді з RST?
В принципі , SNAT
і MASQUERADE
робити той же самий джерело NAT в наце таблиці в межах POSTROUTING ланцюга.
Відмінності
MASQUERADE
не вимагає, --to-source
як це було зроблено для роботи з динамічно призначеними IP-адресами
SNAT
працює лише зі статичними IP-адресами, тому він має --to-source
MASQUERADE
має додаткові накладні витрати і повільніше, ніж SNAT
через те, що кожен раз, коли MASQUERADE
ціль потрапляє через пакет, він повинен перевіряти IP-адресу для використання.
ПРИМІТКА : Типовий випадок використання для MASQUERADE
: екземпляра AWS EC2 у VPC, у нього є приватний IP в межах CIDR VPC (наприклад, 10.10.1.0/24) - наприклад, 10.10.1.100, він також має загальнодоступний IP для спілкування з Інтернет (припустимо, він знаходиться у загальнодоступній підмережі) через який приватний IP 1: 1 NAT. Публічний IP може змінитися після перезавантаження екземпляра (якщо це НЕ EIP), MASQUERADE
кращий варіант у цьому випадку використання.
Важливо: Ще можна використовувати MASQUERADE
ціль зі статичним IP-адресою, просто знайте про додаткові накладні витрати.
Список літератури