固定ip上网用masquerade好些还是用nat？

Archimedes

我以前用的是masquerade

现在用的是nat


/ ip firewall nat
add chain=srcnat out-interface=waiwang src-address=192.168.1.0/24 \
action=src-nat to-addresses=（外网地址） to-ports=0-65535 disabled=no

不知道哪个好？

Archimedes

另外问一下

/ ip firewall nat
add chain=srcnat out-interface=waiwang src-address=192.168.1.0/24 \
action=src-nat to-addresses=（外网地址） to-ports=0-65535 disabled=no

和

/ ip firewall nat
add chain=srcnat src-address=192.168.1.0/24 \
action=src-nat to-addresses=（外网地址） to-ports=0-65535 disabled=no

这2个语句有什么区别，使用以后后果是什么？

dzfeng

src-address=192.168.1.0/24  设置不对吧！！！

zooyo

楼上的哥们不懂就别乱说话了，固定IP我觉得推荐做源地址转换比IP伪装好些，动态IP做伪装，至于interface的选择，我一般没选择那个！

Archimedes

interface 本来是没选择的
但是发现如果不选择，用winbox里面的telnet功能无法连上服务器
用客户机用telnet连服务器却没有问题
选择外网网卡以后就可以连上

目前只发现有这个区别
不知道这是为什么，正好问问大家

[ 本帖最后由 Archimedes 于 2006-10-23 01:02 编辑 ]

nisnake

即使你有静态的IP，也可以使用MASQUERADE，而不用SNAT 。不过，这不是被赞成的，因为它会带来额外的开销，而且以后还可能引起矛盾，比如它也许会影响你的脚本，使它们不能用。(摘自Iptable指南）

foyemeizhe

今天学到了  我去测试一下

qwhw

原帖由 nisnake 于 2006-10-23 23:39 发表

                               
登录/注册后可看大图

即使你有静态的IP，也可以使用MASQUERADE，而不用SNAT 。不过，这不是被赞成的，因为它会带来额外的开销，而且以后还可能引起矛盾，比如它也许会影响你的脚本，使它们不能用。(摘自Iptable指南）

还是不解，为什么会这样说？

zai_xin

NAT 也叫地址转换，把你的 LAN 地址变为 WAN 再出去，如果你有双链路，除了数据包被随机路由外，你的 NAT 之后的地址也要跟着变化才可以

举个例子：
你有两条线路
eth0 1.1.1.1 gw 1.1.1.254，线路1
eth1 2.2.2.1 gw 2.2.2.254，线路2
eth2 192.168.0.254，内网地址
如果你使用了 iproute2 的 equalize 做了权值路由负载均衡，那么数据包是根据你设置的权值走不同路由出去的，如果你使用 -j MASQUERADE 做NAT，那么你的数据包会根据不同的 nexthop 来动态修改 WAN 地址，但如果你使用 -j SNAT --to 1.1.1.1，类似这样做，那么你的数据包只能欺骗成 1.1.1.1 出去，试想，一个从 2.2.2.254 出去的数据包，源地址却为1.1.1.1，回来的时候是怎样走的？绕了一圈，这样的话，根本没起到链路负载均衡的目的，我们需要的是数据流单独走单独回来，因此这里使用 -j MASQUERADE 就对了，MASQUERADE 是动态的，他可以动态根据不同的nexthop 选择不同的 SNAT 地址

sxmong147

原帖由 zooyo 于 2006-10-22 23:56 发表

                               
登录/注册后可看大图

楼上的哥们不懂就别乱说话了，固定IP我觉得推荐做源地址转换比IP伪装好些，动态IP做伪装，至于interface的选择，我一般没选择那个！

老大说得对,固定IP光纤还是用SNAT好,动态ADSL还是用MASQ简单些,不必要用到脚本,两者的效率个人感觉没什么不同