本文共 2026 字,大约阅读时间需要 6 分钟。
NAT (Network Address Translation)即网络地址转换,最初的目的是在路由器上,修改IP报文头中的源地址(source address)或目标地址(destination address),以转发报文。通过NAT,实现了私有子网中与公共网络的连接,也间接延续了IPv4的生命,推迟了IPv6的到来。
1. NAT可以分为如下几类
1) Source NAT (SNAT),也被称为Port Address Translation (PAT)
原始请求的源地址与目标地址是不可直达的,进行SNAT转换的路由器的地址与目标地址是可达的。
SNAT改变IP报文头中的源地址为当前路由器的地址,目标地址不变。而应答的目标地址就是被转换以后的源地址,也非原始请求的源地址。
对内部私有IP的服务器,SNAT使之能够访问外部公共IP的服务器(Internet)。
2) Destination NAT (DNAT)
原始请求的源地址与目标地址是不可直达的,进行DNAT转换的路由器的地址与目标地址是可达的。
DNAT改变IP报文头中的目标地址为当前路由器的地址,源地址不变。而应答的源地址就是被转换以后的目标地址,也非原始请求的目标地址。
对内部私有IP的服务器,DNAT使之能够被外部公共IP的服务器(Internet)访问。
3) one-to-one NAT
只是跨不同类型网络的桥接转换。
与之相对,SNAT和DNAT都被称为one-to-many NAT。
2. Linux通过iptables/ip6tables扩展模块实现NAT
iptables/ip6tables提供了nat表,用以实现各种NAT。nat表中提供如下chains:
3. IP Masquerade(MASQ)
IP Masquerade是Linux中的一个网络功能,是一种特殊的SNAT,也被称为hide-NAT或overlap-NAT。
开启了IP Masquerade功能的Linux主机,可以被视为IP Masquerade网关。隐藏在IP Masquerade网关之后的主机可以通过该网关访问外部Internet,而同时不暴露自己。即,从Internet只能够看到IP Masquerade网关,而无法访问隐藏在其后的主机。IP Masquerade的该特性使高度安全的网络环境成为可能。
4. 跨网络命名空间的访问
1) 从default网络命名空间,通过oam网络命名空间访问外部网络
在oam网络命名空间中配置NAT如下:
ip netns exec oam iptables -t nat -A POSTROUTING -s 192.168.1.0/30 -j SNAT --to-source 10.0.1.12或ip netns exec oam iptables -t nat -A POSTROUTING -o ens192 -j MASQUERADEip netns exec oam ip6tables -t nat -A POSTROUTING -s fd00::/64 -j SNAT --to-source 2001:abcd:dabc:1::12或ip netns exec oam ip6tables -t nat -A POSTROUTING -o ens192 -j MASQUERADE
2) 从oam网络命名空间,通过default网络命名空间访问外部网络
在default网络命名空间中配置NAT如下:
iptables -t nat -A POSTROUTING -s 192.168.1.0/30 -j SNAT --to-source 10.0.0.12或iptables -t nat -A POSTROUTING -o ens160 -j MASQUERADEip6tables -t nat -A POSTROUTING -s fd00::/64 -j SNAT --to-source 2001:abcd:dabc:2::12或ip6tables -t nat -A POSTROUTING -o ens160 -j MASQUERADE
参考链接:
http://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.1.html
转载地址:http://zhlai.baihongyu.com/