SNAT与MASQUERADE的区别的一点疑惑

zhanglei590

MASQUERADE是SNAT的一种特例，MASQUERADE只能是DHCP分配的ip可以做，如PPPOE之类（对外），静态ip是不可以做。在LAN如果不是DHCP是不可以做MASQUERADE么？如果网关对外是静态ip，内部是静态ip，按理说也是不可以做，那我防火墙里的
iptables -t nat -A PREROUTING -p TCP -m tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -j MASQUERADE 是不是应该提示错误呢？是不是应该作成纯SNAT呢？

platinum

[quote]原帖由 "zhanglei590"]MASQUERADE只能是DHCP分配的ip可以做，如PPPOE之类（对外），静态ip是不可以做。..[/quote 发表：


你说错了，可以
MASQUERADE只是不用指明源地址而已，其他和SNAT没什么区别
所以为了方便，我无论做什么NAT的时候，都用MASQUERADE，除非一些特殊情况

双眼皮的猪

MASQUERADE是针对网络接口的,
SNAT是针对ip的...

个人理解.
做SNAT要注意,假如同时存在SNAT和MASQUERADE,请注意顺序.如果MASQUERADE在前边而且没有什么规则控制的话,SNAT可能就起不到作用了...

zhanglei590

那就是NAT的时候默认就是MASQUERADE？
但是我在www.netfilter.org上看的NAT HOWTO上说的，做MASQUERADE只能是DHCP获得的ip才可以做。静态ip需要用别的方法做SNAT...

双眼皮的猪

MASQUERADE适合动态ip,譬如adsl,pppoe之类.而SNAT需要有一个或一些固定已经分配给你的ip.

不一定只能是DHCP.也许netfilter上只是举个例子,或者是您英文不大好：）

platinum

[quote]原帖由 "双眼皮的猪"]MASQUERADE适合动态ip,譬如adsl,pppoe之类.[/quote 发表：

应该说“更适合”

双眼皮的猪

啊~偶错了~呵呵~
应该是更适合：）

双眼皮的猪

啊~偶错了~呵呵~
应该是更适合：）

zhanglei590

.....我看的是中文版的啊，老大！
它说的很清楚，MASQUERADE是SNAT的一种特例。如同MASQUERADE是SNAT的一个子集一样，做MASQUERADE肯定就做SNAT。（我是这样理解的）

双眼皮的猪

可以这么理解~呵呵：）
上面说过，MASQUERADE   更适合  动态ip.
多试几次就好了~光看不行