Was ist der Unterschied zwischen Quell-NAT, Ziel-NAT und Masquerading?

48

Was ist der Unterschied zwischen Quell-NAT, Ziel-NAT und Masquerading?

Zum Beispiel dachte ich, IP Masqurading wäre das, was man es unter Linux nennt? Was mich jedoch verwirrt, ist, dass in unserer Astaro-Firewall IP-Masquarading sowie NAT-Optionen vorhanden sind. Was ist der Unterschied zwischen all diesen?

Matt
quelle
Wenn Sie sich für Sophos interessieren, hat DNAT, SNAT, Masquerading Vorrang
lmf

Antworten:

71

Source NAT ändert die Quelladresse in IP - Header eines Pakets. Möglicherweise wird auch der Quellport in den TCP / UDP-Headern geändert . Die typische Verwendung besteht darin, eine private Adresse / einen privaten Port (rfc1918) in eine öffentliche Adresse / einen öffentlichen Port für Pakete zu ändern, die Ihr Netzwerk verlassen.

Destination NAT ändert die Zieladresse im IP-Header eines Pakets. Es kann auch den ändern Ziel - Port in der TCP / UDP headers.The typischen Verwendung dieses eingehende Pakete mit einem Ziel einer öffentlichen Adresse / Port an einer privaten IP - Adresse / Port in Ihrem Netzwerk zu umleiten.

Masquerading ist eine spezielle Form von Quell-NAT, bei der die Quelladresse zum Zeitpunkt des Hinzufügens der Regel zu den Tabellen im Kernel unbekannt ist. Wenn Sie Hosts mit einer privaten Adresse hinter Ihrer Firewall den Zugriff auf das Internet ermöglichen möchten und die externe Adresse variabel ist (DHCP), müssen Sie diese verwenden. Durch Masquerading werden die Quell-IP-Adresse und der Port des Pakets so geändert, dass sie der primären IP-Adresse entsprechen, die der ausgehenden Schnittstelle zugewiesen ist. Wenn Ihre ausgehende Schnittstelle eine statische Adresse hat, müssen Sie MASQ nicht verwenden und können SNAT verwenden, was etwas schneller ist, da nicht jedes Mal die externe IP-Adresse ermittelt werden muss.

Zoredache
quelle
Danke, das erklärt es sehr gut. Also ist source nat und wahrscheinlich auch masquerading gleichbedeutend mit dem Schlüsselwort nat in freebsds ipf, während destination nat gleichbedeutend mit dem Schlüsselwort rdr in ipf ist.
Matt
Ich habe gerade herausgefunden, dass für freebsd Masquerading durch eine Regel wie map ppp0 10.0.0.0/8 -> 0/32 (wobei 0/32 eine dynamische IP angibt) gehandhabt wird.
Matt