关于SNAT的问题

farmerduan

以下是精华区的文章。我想了半天也不明白关于做SNAT是为什么。如果将源地址改成内网IP，那还怎么传回给远端的请求方呢？

请哪位高手指点一下。多谢！   

------------------------------------------------------------------------------------
Q：一局域网192.168.1.0/24，有web和ftp服务器192.168.1.10、192.168.1.11,网关linux，内网eth0，IP为192.168.1.1，外网eth1，IP为a.b.c.d，怎样作NAT能使内外网都能访问公司的服务器？
A：# web
# 用DNAT作端口映射
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
# 用SNAT作源地址转换（关键），以使回应包能正确返回
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
# 一些人经常忘了打开FORWARD链的相关端口，特此增加
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT

loser123

即反向nat，一般用来作web的前端。。。或者。。

farmerduan

能说得具体点吗？
对于上面DNAT和SNAT两句，我的理解是（1）当流入的包在做路由前如果目标地址是a.b.c.d就转到运行web服务器的内网IP上。（2）然后这些流入的包在做完路由后，由于目标地址满足SNAT的条件，所以它们的源地址被改为了内网的确良92.168.1.1，那这样的话，回应的包如何知道真正的源地址是多少呢？
能帮我解释一下，我哪里想得不对吗？

loser123

有一个keepstate在服务器上面，

服务器会保留这个连接的信息，即有一个对应表，

s port   －－－》d  port

回来后，

d port－－》s port

lingg2002

基本正确

lingg2002

如果不做这个，你内网用户用a'b'cd访问www，会 不行。因为www发现是同一个子网，就吧包直接发送到机器上了，和前面相比，没有经过网关

loser123

一个是

d port  －－》s port

回来是

s port－－－》d  port

前后顺序不同，实现的结果也不同，

一个是共享上网，

一个是让外部的数据流入局域网

farmerduan

我是不是脑瘫了。越来越不明白了：（

farmerduan

如果只用DNAT一句的话，外网用户是不是就可以顺利访问WWW了？
但像lingg2002说的，内网的用户访问WWW，由于是同一子网，包不就更可以顺利返回了吗？为什么要经过网关呢？
哎。。。。。。刚接触iptable，可别笑话我啊。

loser123

在win下面，端口映射对内部是不管用的，

cisco里面的映射是管用的，

fsd下面的，没有专门测试过。。