SNAT与MASQUERADE的区别的一点疑惑

zhanglei590

那么SNAT的配置地址，我是不是可以任意给呢？但是它用的是网关地址，在ip数据包里源地址显示的是我给的地址？

platinum

只要你任意给的SNAT源地址能被你上一层的设备路由到你的网关上，你就能用

zhanglei590

原帖由 "platinum" 发表：
MASQUERADE不管你的地址转换成什么出去，他只以当前网关的DEFAULT GATEWAY做为伪造的源地址，SNAT

实际上MASQUERADE是先取当前网关IP，然后作为源地址出去
SNAT是读取你的配置里面的地址，然后作为源地址出去

那这里的MASQUERADE网关是哪个网关呢？内还是外？

双眼皮的猪

MASQUERADE就是SNAT，你前边不是说过了吗？
MASQUERADE只是更适合动态ip。其他一样的。
至于上面所说到的，只是nat的概念，了解一下就可以了~

platinum

原帖由 "zhanglei590" 发表：


那这里的MASQUERADE网关是哪个网关呢？内还是外？

你做LINUX的机器有几个网关？
他要SNAT的地址应该是能被上一层设备路由到你LINUX上的一个地址

有2种接入方式
1、你的WAN口是一个公网IP，那么，你设置SNAT或者MASQUERADE都可以
2、你的WAN口是一个私网IP，而你的网关也是一个私网IP，但是，ISP给你一些公网IP地址，对于这种情况，你就需要用SNAT来伪造源地址为ISP给你的那些公网IP了，因为只有那些公网IP才可以被ISP路由到你的私网IP来，这种情况下，MASQUERADE就不适合了

急不通

MASQUERADE和SNAT所做的事情基本上是一样的，不过snat要指定出口的ip地址，而配置masquerade时不用指定出口IP地址，可以自动查找出口IP地址用作SNAT，所以不管外网口的地址是静态还是动态，配masquerade都可以工作，很方便（另一方面，方便也是有一定的系统开销作为代价的）

zhanglei590

按照双眼皮的意思就是,如果是动态获得的ip的话,做MASQUERADE是最合适的,如果说是静态的话,做MASQUERADE就划不来的...
那么在静态ip的情况下,platinum做哪个更好一些呢?

platinum

静态IP的话，用SNAT更直观
如果遇到我说的第二种网络的时候，必须用SNAT

網中人

原帖由 "platinum" 发表：
MASQUERADE不管你的地址转换成什么出去，他只以当前网关的DEFAULT GATEWAY做为伪造的源地址，SNAT

实际上MASQUERADE是先取当前网关IP，然后作为源地址出去
SNAT是读取你的配置里面的地址，然后作为源地址出去

嗯? 上面說的有點不怎麼對哦...

不管 MASQUERADE 還是 SNAT, 都是對 source socket 的改寫.
差別是:
SNAT 可改寫為你所指定的 IP
MASQUERADE 則是根據 output 界面當時的 IP 來改寫.
在效能上, SNAT 比 MASQUERADE 要快些, 因為可省掉 IP 判斷的動作.
但從便利來看, 則 MASQUERADE 更為靈活, 無需事先抓出界面的 IP .
然而, 在多個 ip alias 的情況下, MASQUERADE 只能使用原生 IP, 而 SNAT 則可讓你指定你想要的 IP .

之前就討論過了:

http://bbs.chinaunix.net/forum/viewtopic.php?t=343664

双眼皮的猪

网哥的界面，大陆叫接口~说明一下：）