|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?注册
×
src-nat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址,
首先我们说一下snat中几个参数的含义,action,这是说明用的哪种转换方式,通常我们用masqurade,nat这两种,在特殊情况下用accept(主要是内网中有公网地址存在的情况)方法,protocol说明对哪些传输协进行转换(通常有tcp,udp等),out-interface说明通过哪一个网卡进行转换(通常是外网卡outside),to-src-address是将源地址伪装成哪些地址(可以是一个也可以是很多个),to-src-pot是将源端口伪装成哪些端口(可以是一个也可以是很多个),dst-address是指发向哪些主机的数据包要进行伪装(可以一个可以多个),dst-port是指发向哪些端口的数据包进行伪装(可以一个可以多个),src-address是指对哪些源地址进行伪装(可以一个可以多个),src-port是指从哪些源端口发出的数据包进行伪装(可以一个可以多个)
-----以上文字引自中国路由论坛,作者njhhack
下面的论述中,ACTION(转换方式)都是以NAT为例.
再综合网上其它的相关资料,以我现有的理解,和具体的试验,再作些补充:
要做src-nat,除了指明协议\端口\转换成什么地址外,还要谈到是在那块网卡(接口)上做这个“源地址地址转换”。
比如,要让内网的电脑通过ros访问外网,那么就由与公网连接的网卡做snat,在添加src-nat规则时,general页的out. interface就应选"外网卡",当然,用默认设置"all"也就包含了"外网卡",但这不利于理解src-nat
理解了src-nat ,dst-nat就很好理解了,src-nat是ROS将内网电脑发出的数据包的地址中的源地址进行转换然后发往外网,在数据包中,被转换的地址是源地址,所以叫源地址转换.而dst-nat则刚好相反,它是ros将公网发来的数据包的地址中的目的地址进行转换(当然这个目的地址就是ros的公网ip),然后发给内网的电脑,在数据包中,被转换的地址是目的地址,所以叫目的地址转换.
同样,dst-nat除了指定转换后的地址外,也将涉及是在那块网卡(接口)上进行,例如,要将公网发给ros的a端口的数据包转给内网ip为b的c端口,那么设置好a\b\c的值后,在dst-nat规则general页的in.interface里,应选择与b地址网段相连的网卡(接口),显然这是一块内网卡,当然,用默认设置"all"也就包含了这块"内网卡",但这不利于理解DST-nat
.到这里可以明白什么是端口映射了,它就是dst-nat中的一条转换规则.
再来谈"回流",引用一段文字--"什么叫回流呢,就是当内网有服务映射到网关后,内网主机也可以用网关外部地址访问"
由上面的定义可以清楚"回流"要完成的操作:1\内网电脑向ros发送目的地址为公网ip的数据包(当然这个IP就是ROS的公网IP). 2\ros通过源地址转换规则(SRC-NAT)中选定的A网卡(接口)将数据包地址中的源地址转换为公网IP(目的地址不变,仍为公网IP) 3\ROS通过目的地址转换规则(DST-NAT)中选定的B网卡(接口)将数据包地址中的目的地址转换为内网地址,然后发给相应的内网电脑.
但是问题来了,如果A网卡(接口)将数据包地址转换后就往公网发送,那么数据包就无法再回到路由器并转发给内网了.
如果能让数据包不出路由器,在路由器内完成SRC-NAT和DST-NAT这两种地址转换,那么就可以实现回流了.
呵呵,让A=B就可以实现了.就是说,添加一条SRC-NAT和一条DST-NAT规则,而这两条规则中所指定的网卡都是与内网相连的同一块网卡.
上面的论述,在1WAN2LAN,动态拨号环境下,测试验证,没有出现矛盾。
当然动态拨号时,外网卡应选"PPPOE-OUT",还要编写相应的脚本,动态更新to src.address,这比较麻烦,所以动态拨号用户的地址转换方式一般选“masqurade”
不足之处欢迎大家指正。
希望理解masqurade的朋友来发个贴,帮大家释疑一下. |
|
|Archiver|手机版|小黑屋|软路由
( 渝ICP备15001194号-1|
渝公网安备 50011602500124号 )
IP卡
狗仔卡
发表于 2005-12-7 16:51:36
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
