NAT 网络地址转换
NAT 是什么?
NAT(Network Address Translation):网络地址转换,是将 IP 数据包头中的 IP 地址转换为另一个 IP 地址的过程。在实际的应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网 IP 地址代表较多的私有 IP 地址的方式,将有助于减缓可用 IP 地址空间的枯竭。
简单来说,NAT 就是在内部专有网络使用内部地址(不可路由),而当内部节点要与外界网络发生联系时,就在边缘路由器或者防火墙处,将内部的地址替换成全局地址(合法地址,可路由),从而在外部公共网上正常使用。
这里说明一下,内部地址是指在内部网络中分配给节点的私有IP地址,这个地址只能在内部网络中使用,不能被路由。虽然内部地址可以随机挑选,但是通常使用的是RFC 1918中定义的专用地址:10.0.0.010.255.255.255、172.16.0.0172.16.255.255,192.168.0.0~192.168.255.255。全局地址,是指合法的IP地址,它是由NIC或者网络服务提供商分配的地址,对外代表一个或多个内部局部地址,是全局统一的可寻址的地址。
NAT的作用:NAT的主要作用是节省地址空间,在任一时刻,如果内部网络中只有少数节点与外界建立连接,那么就只有少数的内部地址需要被转换成全局地址,可以减少对合法地址的需求。同时,还可以使用多个内部地址共享一个外部地址,使用端口进行区分。这样就能更有效的节约合法地址。除了节约地址,NAT还能简化配置,增加网络规划的灵活性,使用NAT,可以在规划地址时有更大的灵活性,从而简化内部网的涉及。另外,当两个有地址重叠的私有网要连接在一起时,可以使用NAT来防止地址冲突,而避免逐个改变节点的地址这个繁杂的工作。
网络地址转换主要有两种:SNAT 和 DNAT
SNAT 是什么?
SNAT(Source Network Address Translation):源网络地址转换,内部地址要访问公网上的服务时,内部地址会主动发起连接,将内部地址转换为公网 IP。有关这个地址转换称为 SNAT。 具体示例说明:
公司内部的主机 A 想访问互联网上的主机 C,首先将请求数据包 (源:ipA,目标:ipC) 发送到防火墙所在的主机 B,B 收到后将数据包源地址改为本机公网网卡的 ip(源:ipA,目标:ipB),然后经互联网发送给 C,C 收到后将回应包 (源:ipC,目标:ipB) 转发给 C 的路由器,经互联网将回应包转给 B,B 收到回应包后修改其目的地址,将回应包 (源:ipC,目标:ipA) 然后将数据包转发给 A。
比如,多个 PC 机使用 ADSL 路由器共享上网,每个 PC 机都配置了内网 IP。PC 机访问外部网络的时候,路由器将数据包的报头中的源地址替换成路由器的 ip。当外部网络的服务器比如网站 web 服务器接到访问请求的时候,他的日志记录下来的是路由器的 ip 地址,而不是 pc 机的内网 ip。
DNAT 是什么?
DNAT(Destination Network Address Translation):目标地址转换,内部需要对外提供服务时,外部主动发起连接,路由器或者防火墙的网络接收到这个连接,然后将连接转换到内部,此过程是由带公网 ip 的网关代替内部服务来接收外部的连接,然后在内部做地址转换。此转换成为 DNAT,主要用于内部服务对外发布。
互联网主机 C 想访问企业内部的 web 服务器 A,但 A 的地址是私有地址,无法直接访问。此时,C 可以访问防火墙的公网地址,C 的请求数据包 (源:ipC,目标:ipB) 到达防火墙B 后,在 B 的 PREROUTING 上将请求数据包的目标地址进行修改,并将数据包 (源:ipC,目标:ipA) 发送给 A。A 收到后进行回复发送响应包 (源:ipA,目的ipC) 到防火墙,防火墙收到后对数据包源地址进行修改,并将响应包 (源:ipB,目标:ipC) 给 C。利用这种机制可以将企业内部的服务发布到互联网。
典型的应用:
有个 web 服务器放在内网,配置内网 ip,前端有个防火墙,配置公网 ip,互联网上的访问者使用公网 ip 来访问这个网站。当访问的时候,客户端发出一个数据包,这个数据包的报头里边,目标地址写的是防火墙的公网ip。防火墙会把这个数据包的报头改写一次,将目标地址改写成web服务器的内网ip,然后再把这个数据包发送到内网的web服务器上这样,数据包就穿透了防火墙,并从公网ip变成了一个对内网地址的访问了,即DNAT,基于目标的网络地址转换 。