固定ip上网用masquerade好些还是用nat?
我以前用的是masquerade现在用的是nat
/ ip firewall nat
add chain=srcnat out-interface=waiwang src-address=192.168.1.0/24 \
action=src-nat to-addresses=(外网地址) to-ports=0-65535 disabled=no
不知道哪个好? 另外问一下
/ ip firewall nat
add chain=srcnat out-interface=waiwang src-address=192.168.1.0/24 \
action=src-nat to-addresses=(外网地址) to-ports=0-65535 disabled=no
和
/ ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
action=src-nat to-addresses=(外网地址) to-ports=0-65535 disabled=no
这2个语句有什么区别,使用以后后果是什么? src-address=192.168.1.0/24设置不对吧!!! 楼上的哥们不懂就别乱说话了,固定IP我觉得推荐做源地址转换比IP伪装好些,动态IP做伪装,至于interface的选择,我一般没选择那个! interface 本来是没选择的
但是发现如果不选择,用winbox里面的telnet功能无法连上服务器
用客户机用telnet连服务器却没有问题
选择外网网卡以后就可以连上
目前只发现有这个区别
不知道这是为什么,正好问问大家
[ 本帖最后由 Archimedes 于 2006-10-23 01:02 编辑 ] 即使你有静态的IP,也可以使用MASQUERADE,而不用SNAT 。不过,这不是被赞成的,因为它会带来额外的开销,而且以后还可能引起矛盾,比如它也许会影响你的脚本,使它们不能用。(摘自Iptable指南) 今天学到了我去测试一下 原帖由 nisnake 于 2006-10-23 23:39 发表 http://bbs.routerclub.com/images/common/back.gif
即使你有静态的IP,也可以使用MASQUERADE,而不用SNAT 。不过,这不是被赞成的,因为它会带来额外的开销,而且以后还可能引起矛盾,比如它也许会影响你的脚本,使它们不能用。(摘自Iptable指南)
还是不解,为什么会这样说? NAT 也叫地址转换,把你的 LAN 地址变为 WAN 再出去,如果你有双链路,除了数据包被随机路由外,你的 NAT 之后的地址也要跟着变化才可以
举个例子:
你有两条线路
eth0 1.1.1.1 gw 1.1.1.254,线路1
eth1 2.2.2.1 gw 2.2.2.254,线路2
eth2 192.168.0.254,内网地址
如果你使用了 iproute2 的 equalize 做了权值路由负载均衡,那么数据包是根据你设置的权值走不同路由出去的,如果你使用 -j MASQUERADE 做NAT,那么你的数据包会根据不同的 nexthop 来动态修改 WAN 地址,但如果你使用 -j SNAT --to 1.1.1.1,类似这样做,那么你的数据包只能欺骗成 1.1.1.1 出去,试想,一个从 2.2.2.254 出去的数据包,源地址却为1.1.1.1,回来的时候是怎样走的?绕了一圈,这样的话,根本没起到链路负载均衡的目的,我们需要的是数据流单独走单独回来,因此这里使用 -j MASQUERADE 就对了,MASQUERADE 是动态的,他可以动态根据不同的nexthop 选择不同的 SNAT 地址 原帖由 zooyo 于 2006-10-22 23:56 发表 http://bbs.routerclub.com/images/common/back.gif
楼上的哥们不懂就别乱说话了,固定IP我觉得推荐做源地址转换比IP伪装好些,动态IP做伪装,至于interface的选择,我一般没选择那个!
老大说得对,固定IP光纤还是用SNAT好,动态ADSL还是用MASQ简单些,不必要用到脚本,两者的效率个人感觉没什么不同
页:
[1]