论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2010-06-10 13:26 |只看该作者 |倒序浏览

认识NAT很久了，今天回顾发现有些还不懂里面的道理。如：
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to 203.123.234.1
学到的理论是：这样会话建立开始做SNAT，然后响应回来的包会自动再做一次DNAT。

疑问一：
如果内网内两台机器同时向外网一个IP发起同样会话请求（如get url），那么有两个请求都SNAT出去了。但是回来的两个应答目的地址一样的呀（都是那个外网IP），路由怎样区分这两台机器，保证接下来的会话不至于乱？
或许根据MAC找对了，但是DNAT时写的目的地址能保证没有错了？

疑问二：
这样做仿佛就是做了一个网关？是不是一个道理？

疑问三：
如果内网是一个集群的server，可以这样做吗？

我是小菜，有些技术还有些混沌，等人指点迷津。。。。

文库|博客

chenyx

版主

论坛徽章:: 381

2楼 [报告]

发表于 2010-06-10 13:55 |只看该作者

NAT有链接跟踪表,回包会查询,所以不会乱

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

platinum

广告杀手

论坛徽章:: 0

3楼 [报告]

发表于 2010-06-10 16:36 |只看该作者

1、出去的时候源、目的 IP、目的端口都是一样的，但源端口不同，系统会自动根据不同源端口的回包区分是哪个内网 IP
2、是的，就是一个网关，和 MASQUERADE 一个道理
3、SNAT 和 MASQUERADE 是主动外出，如果做 server 需要外面主动进入，所以不适用，应选择使用 DNAT，回去自动 SNAT

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

finechore

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2010-06-10 18:43 |只看该作者

回复 3# platinum

老大，怎么和端口对应的呢？我对端口的理解是，接受到的包往七层递送的时候才会依据端口号，在三层上传递的是不会管端口号的。
那么这里iptables路由SNAT返回的包时，就不是简单的三层交换了？

关于网关，假如我用一外网ip 65.118.9.200 ，网关 65.118.9.253，他会用网关和其他非同一网段的通信。那么通信的另一方也会知道他实际是65.118.9.200，但是还是会和 65.118.9.253 （网关）直接会话。是这样的吧？这个过程好奇怪。