[转]IPTABLES中SNAT和MASQUERADE的区别

IPtables中能够灵活的作各类网络地址转换（NAT）
网络地址转换主要有两种：SNAT和DNAT

SNAT是source network address translation的缩写即源地址目标转换

好比，多个PC机使用ADSL路由器共享上网，每一个PC机都配置了内网IP。PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的ip。当外部网络的服务器好比网站web服务器接到访问请求的时候，他的日志记录下来的是路由器的ip地址，而不是pc机的内网ip。
这是由于，这个服务器收到的数据包的报头里边的“源地址”，已经被替换了。因此叫作SNAT，基于源地址的地址转换。

DNAT是destination network address translation的缩写即目标网络地址转换

典型的应用是，有个web服务器放在内网，配置内网ip，前端有个防火墙，配置公网ip，互联网上的访问者使用公网ip来访问这个网站。当访问的时候，客户端发出一个数据包，这个数据包的报头里边，目标地址写的是防火墙的公网ip。防火墙会把这个数据包的报头改写一次，将目标地址改写成web服务器的内网ip，而后再把这个数据包发送到内网的web服务器上这样，数据包就穿透了防火墙，并从公网ip变成了一个对内网地址的访问了，即DNAT，基于目标的网络地址转换 。

MASQUERADE，地址假装，在iptables中有着和SNAT相近的效果，但也有一些区别：

SNAT，DNAT，MASQUERADE都是NAT，MASQUERADE是SNAT的一个特例。
SNAT是指在数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的IP，这样，接收方就认为数据包的来源是被替换的那个IP的主机。

MASQUERADE是用发送数据的网卡上的IP来替换源IP，所以，对于那些IP不固定的场合，好比拨号网络或者经过dhcp分配IP的状况下，就得用MASQUERADE。

DNAT，就是指数据包从网卡发送出去的时候，修改数据包中的目的IP，表现为若是你想访问A，但是由于网关作了DNAT，把全部访问A的数据包的目的IP所有修改成B，那么，你实际上访问的是B。

由于，路由是按照目的地址来选择的，所以，DNAT是在PREROUTING链上来进行的，而SNAT是在数据包发送出去的时候才进行，所以是在POSTROUTING链上进行的

但使用SNAT的时候，出口ip的地址范围能够是一个，也能够是多个，例如：

以下命令表示把全部10.8.0.0网段的数据包SNAT成192.168.5.3的ip而后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT –to-source 192.168.5.3

以下命令表示把全部10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip而后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT –to-source 192.168.5.3-192.168.5.5

这就是SNAT的使用方法，便可以NAT成一个地址，也能够NAT成多个地址
可是，对于SNAT，无论是几个地址，必须明确的指定要SNAT的ip
假如当前系统用的是ADSL动态拨号方式，那么每次拨号，出口ip192.168.5.3都会改变
并且改变的幅度很大，不必定是192.168.5.3到192.168.5.5范围内的地址
这个时候若是按照如今的方式来配置iptables就会出现问题了
由于每次拨号后，服务器地址都会变化，而iptables规则内的ip是不会随着自动变化的
每次地址变化后都必须手工修改一次iptables，把规则里边的固定ip改为新的ip
这样是很是很差用的

 

MASQUERADE就是针对这种场景而设计的，他的做用是，从服务器的网卡上，自动获取当前ip地址来作NAT
好比下边的命令：
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
如此配置的话，不用指定SNAT的目标ip了
无论如今eth0的出口得到了怎样的动态ip，MASQUERADE会自动读取eth0如今的ip地址而后作SNAT出去
这样就实现了很好的动态SNAT地址转换

 

 

注：
对于MASQUERADE，只是计算机的负荷稍微多一点。由于对每一个匹配的包，MASQUERADE都要查找可用的IP地址，而不象SNAT用的IP地址是配置好的。固然，这也有好处，就是咱们可使用经过PPP、 PPPOE、SLIP等拨号获得的地址，这些地址但是由ISP的DHCP随机分配的。

 

 实例：

咱们可能须要将访问主机的7979端口映射到8080端口。也能够iptables重定向完成

iptables -t nat -A PREROUTING -p tcp --dport 7979 -j REDIRECT --to-ports 8080

 更改iptables，使之实现nat映射功能

将外网访问192.168.75.5的80端口转发到192.168.75.3:8000端口。 # iptables -t nat -A PREROUTING -d 192.168.75.5 -p tcp --dport 80 -j DNAT --to-destination 192.168.75.3:8000 将192.168.75.3 8000端口将数据返回给客户端时，将源ip改成192.168.75.5 # iptables -t nat -A POSTROUTING -d 192.168.75.3 -p tcp --dport 8000 -j SNAT 192.168.75.5