试论nat转换方式下的src-nat、dst-nat和映射、回流的关系
src-nat是源地址转换,其作用是将ip数据包的源地址转换成另外一个地址, 首先我们说一下snat中几个参数的含义,action,这是说明用的哪种转换方式,通常我们用masqurade,nat这两种,在特殊情况下用accept(主要是内网中有公网地址存在的情况)
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
,protocol说明对哪些传输协进行转换(通常有tcp,udp等),out-interface说明通过哪一个网卡进行转换(通常是外网卡outside),to-src-address是将源地址伪装成哪些地址
(可以是一个也可以是很多个),to-src-pot是将源端口伪装成哪些端口(可以是一个也可以是很多个),dst-address是指发向哪些主机的数据包要进行伪装(可以一个可以多个),dst-port是指发向哪些端口的数据包进行伪装(可以一个可以多个),src-address是指对哪些源地址进行伪装(可以一个可以多个),src-port是指从哪些源端口发出的数据包进行伪
装(可以一个可以多个)
-----以上文字引自中国路由论坛,作者njhhack
下面的论述中,ACTION(转换方式)都是以NAT为例.
再综合网上其它的相关资料,以我现有的理解,和具体的试验,再作些补充: 要做src-nat,除了指明协议\端口\转换成什么地址外,还要谈到是在那块网卡(接口)上做这个“源地址地址转换”。
比如,要让内网的电脑通过routeros访问外网,那么就由与公网连接的网卡做snat,在添加src-nat规则时,general页的out. interface就应选"外网卡",当然,用默认设置"all"也就包含了"外网卡",但这不利于理解src-nat
理解了src-nat ,dst-nat就很好理解了,src-nat是Routeros将内网电脑发出的数据包的
地址中的源地址进行转换然后发往外网,在数据包中,被转换的地址是源地址,所以叫源地址转换.而dst-nat则刚好相反,它是Routeros将公网发来的数据包的地址中的目的地址进行
转换(当然这个目的地址就是routeros的公网ip),然后发给内网的电脑,在数据包中,被转换的地址是目的地址,所以叫目的地址转换.
同样,dst-nat除了指定转换后的地址外,也将涉及是在那块网卡(接口)上进行,例如,要将公网发给routeros的a端口的数据包转给内网ip为b的c端口,那么设置好a\b\c的值后,在dst-nat规则general页的in.interface里,应选择与b地址网段相连的网卡(接口),显然这是一块内网卡,当然,用默认设置"all"也就包含了这块"内网卡",但这不利于理解DST-nat
.到这里可以明白什么是端口映射了,它就是dst-nat中的一条转换规则.
再来谈"回流",引用一段文字--"什么叫回流呢,就是当内网有服务映射到网关后,内网主机也可以用网关外部地址访问"
由上面的定义可以清楚"回流"要完成的操作:1\内网电脑向Routeros发送目的地址为公网ip的数据包(当然这个IP就是Routeros的公网IP). 2\Routeros通过源地址转换规则(SRC-NAT)中选定的A网卡(接口)将数据包地址中的源地址转换为公网IP(目的地址不变,仍为公网IP) 3\routeros通过目的地址转换规则(DST-NAT)中选定的B网卡(接口)将数据包地址中的目的地址转换为内网地址,然后发给相应的内网电脑.
但是问
题
快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题
来了,如果A网卡(接口)将数据包地址转换后就往公网发送,那么数据包就无法再回到路由器并转发给内网了.
如果能让数据包不出路由器,在路由器内完成SRC-NAT和DST-NAT这两种地址转换,那么就可以实现回流了.
呵呵,让A=B就可以实现了.就是说,添加一条SRC-NAT和一条DST-NAT规则,而这两条规则中所指定的网卡都是与内网相连的同一块网卡.
上面的论述,在1WAN2LAN,动态拨号环境下,测试验证,没有出现矛盾。
当然动态拨号时,外网卡应选"PPPOE-OUT",还要编写相应的脚本,动态更新to src.address,这比较麻烦,所以动态拨号用户的地址转换方式一般选“masqurade”
不足之处欢迎大家指正。
希望理解masqurade的朋友来发个贴,帮大家释疑一下.
转载请注明 文章来自: 北京电脑维修网() ,详文参考:
浙公网安备 33021202002483