Intereting Posts
Пример использования таймера ядра в Linux Менеджер драйверов через прокси-сервер Синтаксис Ошибка при попытке запустить скрипт Лучший способ сравнить различные решения для шифрования в моей системе Как отформатировать стрелку в виде двойной строки в LibreOffice Draw Нарисуйте сегменты из заданных точек Как использовать временную переменную среды в bash for loop? Можно ли использовать / bin / cat в качестве оболочки для ограниченного пользователя? Установка новой операционной системы, такой как FreeBSD с загрузкой PXE? Gnome3 – добавление клавиатуры «Пользовательские ярлыки» с использованием dconf без необходимости выхода из системы Отказано в праве root при подключении BluetoothSocket с Bluez 5.43 Могу ли я уведомить об отправке сообщения на другой монитор? Debian не может получить доступ к Интернету, несмотря на то, что он «подключен» Команда ss: разница между сокетами raw и unix Как узнать, какой Linux и какая версия я использую

Разница между SNAT и Masquerade

Я смущен, какова фактическая разница между SNAT и Masquerade?

Если я хочу поделиться своим интернет-соединением в локальной сети, следует ли мне выбирать SNAT или Masquerade?

Цель SNAT требует от вас SNAT IP-адрес для всех исходящих пакетов. Цель MASQUERADE позволяет вам дать ему интерфейс, и любой адрес на этом интерфейсе – это адрес, который применяется ко всем исходящим пакетам. Кроме того, при SNAT отслеживание соединений ядра отслеживает все соединения, когда интерфейс снимается и восстанавливается; то же самое не относится к цели MASQUERADE .

Хорошие документы включают HOWTO на сайте Netfilter и iptables страницу iptables .

В основном SNAT и MASQUERADE выполняют одну и ту же MASQUERADE источника NAT в таблице nat в цепочке POSTROUTING.

Различия

  • MASQUERADE не требует от --to-source поскольку он был создан для работы с динамически назначенными IP-адресами

  • SNAT работает только со статическими IP-адресами, поэтому у него есть --to-source

  • MASQUERADE имеет дополнительные накладные расходы и медленнее, чем SNAT потому что каждый раз, когда цель MASQUERADE попадает в пакет, он должен проверять использование IP-адреса.

ПРИМЕЧАНИЕ . Типичный пример использования экземпляра MASQUERADE : AWS EC2 в VPC, он имеет частный IP-адрес в VPC CIDR (например, 10.10.1.0/24) – 10.10.1.100, например, он также имеет общедоступный IP-адрес для связи с Интернетом (предположим, что он находится в общедоступной подсети), через который частный IP 1: 1 NAT. Публичный IP-адрес может измениться после перезагрузки экземпляра (если он НЕ является EIP), MASQUERADE – лучший вариант в этом случае использования.

Важно: по-прежнему можно использовать цель MASQUERADE со статическим IP-адресом, просто помните о дополнительных накладных расходах.

Рекомендации

  • Учебное пособие iptables

  • Учебник NAT