Quelle est la différence entre un NAT source, un NAT de destination et un masquerading?

49

Quelle est la différence entre un NAT source, un NAT de destination et un masquerading?

Par exemple, je pensais que IP Masqurading était ce qu’ils appelaient sous Linux? Mais ce qui me dérange, c’est que dans notre pare-feu Astaro, il existe des options IP Masquarading et NAT. Quelle est la différence entre tout cela?

Mat
la source
Au cas où vous vous demanderiez pour Sophos, la priorité est DNAT, SNAT, Masquerading
lmf

Réponses:

72

Le NAT source change l' adresse source dans l'en- tête IP d'un paquet. Cela peut également changer le port source dans les en-têtes TCP / UDP. L'utilisation typique consiste à changer l'adresse / port privé (rfc1918) en une adresse / port public pour les paquets quittant votre réseau.

Le NAT de destination change l' adresse de destination dans l'en-tête IP d'un paquet. Cela peut également changer le port de destination dans les en-têtes TCP / UDP. Son utilisation typique consiste à rediriger les paquets entrants avec une destination d'adresse / de port public vers une adresse / port IP privée à l'intérieur de votre réseau.

Le masquage est une forme spéciale de NAT source, où l’adresse source est inconnue au moment où la règle est ajoutée aux tables du noyau. Si vous souhaitez autoriser des hôtes avec une adresse privée derrière votre pare-feu à accéder à Internet et que l’adresse externe est variable (DHCP), c’est ce que vous devez utiliser. Le masquage modifie l'adresse IP source et le port du paquet en tant qu'adresse IP principale attribuée à l'interface sortante. Si votre interface sortante a une adresse statique, vous n'avez pas besoin d'utiliser MASQ, mais vous pouvez utiliser SNAT, ce qui sera un peu plus rapide, car il n'est pas nécessaire de déterminer quelle est l'adresse IP externe à chaque fois.

Zoredache
la source
Merci, cela explique très bien. Donc, le nat source et probablement le masquerading sont aussi équivalents au mot-clé nat dans l'ipf de freebsd alors que la destination nat est équivalente au mot-clé rdr dans l'ipf.
Matt
Je viens de découvrir que pour FreeBSD, le masquage est géré par une règle telle que map ppp0 10.0.0.0/8 -> 0/32 (où 0/32 indique une adresse IP dynamique).
Matt