linux中的snat和dnat

linux中的snat和dnat

 

众所周知，为了保护内网用户的安全，linux防火墙具有nat转换的功能，可是在这里就出现了问题，linux防火墙的nat转换，有snat和dnat两种，可是我们具体应该用哪一种nat转换呢？这里我将对这两种转换进行简单的说明。

 

snat是一种对于源地址转换的技术，当在路由器或者防火墙上的网关配置snat转换后，当信息发布过来时，路由器或者网关会将源地址改成设置的外网地址。

 

内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由路由器或者防火墙上的网关对内部地址做个地址转换，将内部地址的私有IP转换为公网的公有IP，网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。

 

dnat是一种对于目的地址转换的技术，当在路由器或者防火墙上的网关配置dnat转换后，当信息发送过来时，路由器或者网关会将目的地址改成设置的内网地址。

 

当内部需要提供对外服务时（如对外发布web网站），外部地址发起主动连接，由路由器或者防火墙上的网关接收这个连接，然后将连接转换到内部，此过程是由带有公网IP的网关替代内部服务来接收外部的连接，然后在内部做地址转换，此转换称为DNAT，主要用于内部服务对外发布。