15.5. NAT

NAT的类型:

  • Destination NAT

  • Source NAT

  • Endpoint-Independent NAT

15.5.1. Destination NAT

目标NAT或dstnat。

这种类型的NAT是对那些要被NAT网络处理的数据包执行的。

它最常用于使私有网络上的主机可用从互联网访问(端口映射)。

当一个IP数据包通过路由器进入私有网络时,一个执行dstnamt的NAT路由器替换该数据包的目标IP地址。

dstnat场景

仅仅配置dstnat规则是不够的,在数据包从NAT网络内部响应到路由器时,如果需要对路由器外部隐藏NAT内部返回的数据包的源IP,还需要使用srcnat或(masquerade)。

15.5.2. Source NAT

源NAT或srcnat。

这种类型的NAT是对源自NAT网络的数据包执行的。 NAT路由器在数据包通过路由器时(数据包从NAT内部请求或回复时),用新的公共IP地址替换IP数据包的私有源地址。 反向操作应用于以另一个方向传输的应答数据包。

srcnat主要用于隐藏源地址。

15.5.2.1. masquerade

NAT action=masquerade是一个独特的action=srcnat子版本。 它被设计用于特定情况下公共IP可用随机改变,例如,DHCP服务器改变分配的IP或PPPoE隧道断开连接后得到不同的IP,简而言之,就是公共IP是动态的情况。 这可用理解为路由器的WAN口的IP是从DHCP的。

15.5.2.2. Hairpin NAT

解决在NAT内部直接使用公共IP来访问NAT内部的起其他资源。

15.5.2.3. NAT444

15.5.3. Endpoint-Independent

也叫:端点无关的NAT。

只适用于UDP协议。