SNAT & DNAT
NAT,全称网络地址转换,是一种在IP数据包通过路由器或防火墙时,修改其源IP地址或目标IP地址(或端口)的技术。
核心目的
主要为了解决IPv4地址短缺问题,并提升网络安全性。它允许多个设备在内部网络中使用私有IP地址,共享一个或少数几个公网IP地址来访问互联网。
工作原理(以最常见的场景为例)
想象一个家庭或办公室网络:
-
内部网络:你的电脑、手机等设备被分配了私有IP地址(如
192.168.1.100)。 -
网络出口:路由器(充当NAT设备)拥有一个公网IP地址(如
203.0.113.1)。 -
转换过程:
-
当你的电脑(
192.168.1.100)访问一个公网网站时,发出的数据包源IP是私有地址。 -
路由器拦截这个数据包,将源IP地址替换为自己的公网IP(
203.0.113.1),并记录下这条连接映射(哪个内网IP、用了哪个端口)。 -
网站服务器将响应发回路由器的公网IP。
-
路由器根据之前记录的映射表,将响应数据包的目标IP改回你电脑的私有地址(
192.168.1.100),并转发给它。
-
主要类型
-
SNAT:转换源地址。用于内网设备主动访问外网(如上网浏览)。这是最常见的NAT类型。
-
DNAT:转换目标地址。用于将公网的访问请求转发到内网的特定服务器(如将公网IP的80端口映射到内网Web服务器)
SNAT(源网络地址转换)与DNAT(目标网络地址转换)是NAT(网络地址转换)的两种核心类型,主要区别在于转换的对象和流量方向。
|
特性 |
SNAT (Source NAT) |
DNAT (Destination NAT) |
|---|---|---|
|
转换对象 |
转换数据包的源IP地址(和端口) |
转换数据包的目标IP地址(和端口) |
|
主要目的 |
使内网/私有网络中的设备能够主动访问公网/外部网络。 |
使公网/外部网络的请求能够访问到内网/私有网络中的服务。 |
|
流量方向 |
出向流量(从内网到公网)。 |
入向流量(从公网到内网)。 |
|
典型应用场景 |
1. 公司或家庭局域网内的电脑共享一个公网IP上网。 |
1. 将公网IP的80端口映射到内网Web服务器的80端口,对外提供网站服务。 |
|
工作位置 |
通常在网络出口网关(如路由器、防火墙、NAT网关)上,在数据包离开内网时进行转换。 |
通常在网络入口网关(如路由器、防火墙、NAT网关)上,在数据包进入内网时进行转换。 |
|
别名/常见形式 |
出口NAT、IP伪装(Masquerading,一种特殊的SNAT)。 |
端口转发、虚拟服务器。 |