地址转换技术

前言

在我们上网的过程中，不可能只用同一个ip地址来访问，在公网和内网之间，需要一些地址转换来实现公网和内网ip的变化。通常，我们可以使用NAT来做；在公网ip不固定的时候，也需要使用MASQUERADE来做地址转换。

 

NAT(Network Address Translation)

我们都知道，在ip数据包中，有两个参数可以定位包的源地址和目的地址，一个是源地址ip，一个是目标地址ip。我们常用的NAT有两种，一种是SNAT，修改源地址；一种是DNAT，修改目标地址。

SNAT(Source NAT)

此协议转换包的源地址，通常用于内网ip转公网ip，也就是正向代理会对发出的ip包做SNAT，使其可以传到公网环境中进行下一跳路由动作。

此修改作用于iptables的POSTROUTING阶段，具体命令如下：

iptables -t nat -A POSTROUTING -s <修改之前的ip段> -o <出口网卡> -j SNAT --to-source <修改之后的ip> 

 

DNAT(Destination NAT)

此协议转换包的目的地址，通常用于公网ip转内网ip，也就是反向代理会对收到的ip包做DNAT，使其可以传到内网环境中进行下一跳路由动作。

此修改作用于iptables的PREROUTING阶段，具体命令如下：

iptables -t nat -A PREROUTING -d <需要使用的ip地址> -i <入口网卡> -j DNAT --to-destination <修改之前的ip段>

 

MASQUERADE(伪装)

当我们的网卡绑定的公网ip是动态的，我们就需要动态读取网卡上的ip信息，这时我们使用MASQUERADE协议可以实现。

当然，MASQUERADE是一种特殊的SNAT，通常用于动态网络环境中，也作用于POSTROUTING阶段。

具体的命令如下：

iptables -t nat -A POSTROUTING -s <修改之前的ip段> -o <出口网卡> MASQUERADE