2012年9月17日星期一

SNAT和DNAT




在NAT设备伪装(masquarding),SNAT(源NAT)是一个类似的概念伪装和SNAT传出的数据包通过指定的IP报文的源IP地址与NAT设备改变发出的数据包,以满足SNAT规则如果NAT设备改变到一个预定义的IP数据包的源地址,通常的源IP NAT设备的IP地址可以使用。
SNAT如何通过一个例子让我们来看看下面的网络配置将假定相等。

                     (SNAT安装)+ --------- +
IP:FWEXT为eth0 eth1的| IP:FWINT
- + --------- / / ---------------- | | ----------- + ------ ---------
      外部网络| | |
+ --- + --- + + + + ---- + ----- + ---------
| |防火墙| |
| | | |
+ ------- + + ---------- +
Web服务器(的IP:EXTWEB)本地PC(192.168.1.1)
GW:FWINT



在上面的网络配置在防火墙上设置SNAT,如果你没有,在本地计算机可以连接到外部Web服务器。本地PC的IP地址是一个私有IP,可以通过互联网和私有IP,因为路由如果SNAT设置的防火墙,这个故事是不同的。 SNAT如何在本地计算机,这样您就可以连接到外部Web服务器,让我们来看看如何。
将数据包发送到本地PC连接到外部Web服务器。在这种情况下,将数据包的源IP是192.168.1.1,和目的地IP EXTWEB,因为它被分配到的本地PC的的默认网关FWINT分组被转发到防火墙。防火墙数据包通过正常的路由选择过程的外部接口通过。的配置正如你可以看到从防火墙的SNAT外部接口设置。退出之前在外部接口上的数据包,源IP的防火墙外部的IP(FWEXT)的改变成真。(SNAT路由经过仔细让)后的数据包将被传递到Web服务器和目的地IP数据包被接收,如果你的Web服务器发送一个响应数据包的源IP EXTWEB将FWEXT Web服务器的响应数据包,防火墙会看到源IP,源端口,目的端口信息SNAT这是该数据包被转发到防火墙的数据包的响应,所以防火墙192.168.1.1源IP FWEXT的改变后(的过程中去SNAT)被称为路由,并最终将数据包转发到本地PC。本地PC和外部Web服务器到服务器的通信,这种方式,这将是可能的。
更多的信息,使用iptables实现如下。 iptables的 - 吨的NAT-A POSTROUTING-P TCP-O为eth0-J SNAT源FWEXT
                                      DNAT是相反的概念。正如它的名字所暗示的,DNAT改变NAT设备传入的数据包的目的IP地址,一般在本地局域网中有一台服务器,并且不通知外部服务器的IP负载均衡的目的,或用于通过上面的例子,让我们来看看如下的描述中使用的结构的网络。

  + --------- +
IP:FWEXT为eth0 eth1的| IP:FWINT
- + --------- / / ---------------- | | ----------- + ------ ---------
外部网络| | |
+ --- + --- + + + + ---- + ----- + ---------
| |防火墙| |
| |(DNAT安装)| |
+ ------- + + ---------- +
外部客户端(IP:EXTCLI)本地Web服务器(192.168.1.1)
GW:FWINT


的实际地址,Web服务器的配置,可以看到图。使用此IP是192.168.1.1,但不能沟通,与外部客户端,因为私人IP路由规则不因此,Web服务器应该神采,好像你在外面使用的公网I​​P​​。为此,名称,地址上的Web服务器的服务器可以设置为在Web服务器上你要连接到外部客户端的最终FWEXT:80包送FWEXT。防火墙接收到的数据包。是由防火墙,以决定是否允许该数据包的接收接收到的的DNAT变化数据包的目的IP地址为192.168.1.1。此后,在路由过程中,数据包是内部的防火墙数据包从交付(DNAT之前完成路由),被传递到Web服务器,所以它被传递给Web服务器的外部客户端接口。然后,Web服务器发送的响应会发生什么呢? Web服务器将发送一个响应的外部客户端(EXTCLI)。的Web服务器而不是默认网关FWINT的,因为它是由Web服务器发送的响应,最终通过防火墙的设置的本地IP是防火墙的DNAT检查接收到的数据包信息,如目的地址,目的端口,数据包学习的响应包的源IP地址的数据包改变他们的的IP(FWEXT),(这就是所谓的去DNAT)的数据包被传递给客户端后,通过eth0。

更多的是,在使用iptables如下:iptables的 - 吨的NAT-A PREROUTING - DST 1.2.3.4了-p tcp - DPORT 80-J DNAT到目的地192.168.1.1
192.168.1.1-10本地Web服务器负载均衡的效果10,如果你想要的,如下:如果你改变了规则。IPTABLES-T的NAT-A PREROUTING-DST 1.2.3.4-P的TCP - dport 80 -J DNAT到目标192.168.1.1-10
这round-robin负载平衡是可能的。第十届客户端​​发送的流量首先发送的客户端流量将被转发到192.168.1.1到192.168.1.2,第二次发送的客户端流量被传递,从客户端发送到服务器192.168.1.10的交通,第十一届被转发到192.168.1.1表达式为

发帖者 时间:
标签:

没有评论:

发表评论

订阅: 博文评论 (Atom)