जवाबों:
SNATलक्ष्य यह सब बाहर जाने वाले पैकेट को लागू करने के लिए एक आईपी पता देने के लिए की आवश्यकता है। MASQUERADEलक्ष्य आप इसे एक इंटरफेस प्रदान करने देगा, और जो पता है कि इंटरफेस पर है पता है कि सभी बाहर जाने वाले पैकेट को लागू किया जाता है। इसके अलावा, SNATकर्नेल का कनेक्शन ट्रैकिंग इंटरफ़ेस को नीचे ले जाने और वापस ऊपर लाने पर सभी कनेक्शनों पर नज़र रखता है; वही MASQUERADEलक्ष्य के लिए सही नहीं है ।
अच्छे दस्तावेजों में नेटफिल्टर साइट और iptablesमैन पेज पर HOWTO शामिल हैं ।
-j SNAT(साथ रीसाइक्लिंग रीसाइक्लिंग के विपरीत -j MASQUERADE) के साथ होगा । उस स्थिति में, मैं पुराने आउटगोइंग कनेक्शन से आने वाले पैकेटों की कल्पना कर सकता हूं, जो टीसीपी स्टैक को भ्रमित करते हुए नोड को भेजा जा रहा है। -जैसे SNAT के लाभ के लिए, क्या होगा यदि NAT बॉक्स को समान बाहरी IP पते से कॉन्फ़िगर किया गया है और कर्नेल RST के साथ उत्तर देने के बजाय पुराने कनेक्शन से पैकेट अग्रेषित करता रहता है?
मूल रूप से SNATऔर MASQUERADEPOSTROUTING श्रृंखला के भीतर नेट टेबल में एक ही स्रोत NAT बात करते हैं।
मतभेद
MASQUERADEआवश्यकता नहीं है --to-sourceक्योंकि यह गतिशील रूप से असाइन किए गए IP के साथ काम करने के लिए बनाया गया था
SNAT केवल स्थिर आईपी के साथ काम करता है, इसीलिए यह है --to-source
MASQUERADEअतिरिक्त ओवरहेड है और इससे धीमी है SNATक्योंकि हर बार MASQUERADEलक्ष्य पैकेट से टकरा जाता है, इसका उपयोग करने के लिए आईपी पते की जांच करनी होती है।
नोट : इसके लिए एक विशिष्ट उपयोग का मामला MASQUERADE: एक VPC में AWS EC2 का उदाहरण, इसमें VPC CIDR के भीतर एक निजी IP है (उदाहरण के लिए 10.10.1.0/24) - 10.10.1.100 उदाहरण के लिए, इसमें एक सार्वजनिक IP भी है ताकि साथ संवाद कर सके इंटरनेट (मान लें कि यह सार्वजनिक सबनेट में है) जिसके माध्यम से निजी आईपी 1: 1 NAT। उदाहरण के रीबूट (यदि यह ईआईपी नहीं है) के बाद सार्वजनिक आईपी बदल सकता है, MASQUERADEइस उपयोग के मामले में एक बेहतर विकल्प है।
महत्वपूर्ण: MASQUERADEस्थिर आईपी के साथ लक्ष्य का उपयोग करना अभी भी संभव है , बस अतिरिक्त ओवरहेड के बारे में पता होना चाहिए।
संदर्भ