Frage Was ist der Unterschied zwischen einem Quell-NAT, Ziel-NAT und Masquerading?


Was ist der Unterschied zwischen einem Quell-NAT, Ziel-NAT und Masquerading?

Zum Beispiel dachte ich, dass IP-Masquerading das war, was sie unter Linux nannten? Aber was mich verwirrt, ist, dass es in unserer Astaro Firewall sowohl IP Masquarding als auch NAT-Optionen gibt. Was ist der Unterschied zwischen all diesen?


46
2018-03-04 23:54


Ursprung


Wenn Sie sich für Sophos interessieren, ist DNAT, SNAT, Masquerading der Vorzug - lmf


Antworten:


Quell-NAT ändert die Quelle Adresse in IP Header eines Pakets. Es kann auch die ändern Quelle Port in den TCP / UDP-Headern. Die typische Verwendung besteht darin, die private (rfc1918) Adresse / Port in eine öffentliche Adresse / Port für Pakete zu ändern, die Ihr Netzwerk verlassen.

Ziel-NAT ändert die Ziel Adresse im IP-Header eines Pakets. Es kann auch die ändern Ziel Port in den TCP / UDP-Headern. In der Regel werden dabei eingehende Pakete mit dem Ziel einer öffentlichen Adresse / Port an eine private IP-Adresse / Port in Ihrem Netzwerk umgeleitet.

Masquerading ist eine spezielle Form von Source-NAT, bei der die Quelladresse zu dem Zeitpunkt unbekannt ist, zu dem die Regel den Tabellen im Kernel hinzugefügt wird. Wenn Sie zulassen möchten, dass Hosts mit einer privaten Adresse hinter Ihrer Firewall auf das Internet zugreifen und die externe Adresse variabel ist (DHCP), müssen Sie dies verwenden. Beim Maskieren werden die Quell-IP-Adresse und der Port des Pakets als primäre IP-Adresse für die ausgehende Schnittstelle geändert. Wenn Ihre Ausgangsschnittstelle eine Adresse hat, die statisch ist, dann brauchen Sie nicht MASQ zu verwenden und können SNAT verwenden, was ein wenig schneller ist, da es nicht jedes Mal herausfinden muss, was die externe IP ist.


61
2018-03-05 00:40



Danke, das erklärt es sehr gut. Also quelle nat und wahrscheinlich auch masquerading ist gleichbedeutend mit dem Schlüsselwort nat in frebsds ipf, während das Ziel nat dem rdr-Schlüsselwort in ipf entspricht. - Matt
Habe gerade herausgefunden, dass maskieren für freebsd von einer Regel wie map ppp0 10.0.0.0/8 -> 0/32 gehandhabt wird (wobei 0/32 eine dynamische IP angibt). - Matt