ที่มา NAT
Network Address Translation (NAT) ช่วยให้โฮสต์บน LAN สามารถสื่อสารกับเครือข่ายภายนอกได้
- Source NAT (srcnat) แปลที่อยู่ IP (จาก LAN) เป็นที่อยู่ IP สาธารณะเมื่อเข้าถึงอินเทอร์เน็ต นอกจากนี้ยังดำเนินการแปล IP สาธารณะเป็นส่วนตัวเมื่อมีการสร้างการรับส่งข้อมูลจาก WAN ไปยัง LAN
- ที่อยู่ IP ที่ไม่สามารถกำหนดเส้นทางได้แบบสาธารณะคือที่อยู่ IP ที่ไม่สามารถใช้งานบนอินเทอร์เน็ตได้
- ที่อยู่ส่วนตัวเหล่านี้คือ:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
- ที่อยู่ส่วนตัวเหล่านี้คือ:
มาสเคอเรด & src-nat
เชนแรกสำหรับ NAT คือ srcnat. ใช้เพื่อใช้การดำเนินการกับข้อมูลขาออกจากเราเตอร์ เช่นเดียวกับตัวกรองไฟร์วอลล์ กฎ NAT มีคุณสมบัติและการดำเนินการบางอย่าง (13 การดำเนินการ) การดำเนินการแรกและพื้นฐานที่สุดของ NAT คือ การกระทำ=การสวมหน้ากาก.
สวมหน้ากาก แทนที่ที่อยู่ IP ต้นทางในแพ็กเก็ตด้วย IP เฉพาะอื่น (เช่น IP ส่วนตัวถึงสาธารณะ) เพื่ออำนวยความสะดวกในการกำหนดเส้นทาง
- โดยทั่วไป ที่อยู่ IP ต้นทางของแพ็กเก็ตที่ไปยังอินเทอร์เน็ตจะถูกแทนที่ด้วยที่อยู่ของอินเทอร์เฟซภายนอก (WAN)
chain=src-nat ช่วยให้คุณสามารถเปลี่ยนแปลงที่อยู่ IP และพอร์ตต้นทางของแพ็กเก็ตตามที่ผู้ดูแลระบบเครือข่ายระบุ
ตัวอย่างการใช้งาน:
บริษัทสองแห่ง (อัลฟ่าและเบต้า) ได้รวมตัวกันแล้ว แต่มีปัญหาบนเครือข่ายท้องถิ่นของตนเนื่องจากทั้งสองเครือข่ายใช้พื้นที่ที่อยู่เดียวกัน (เช่น 172.16.0.0/16.) พวกเขาไม่ต้องการเปลี่ยนส่วนเครือข่าย เนื่องจากอุปกรณ์ทั้งหมดในบริษัท (เครื่องพิมพ์ โปรเจ็กเตอร์ เครื่องถ่ายเอกสาร ฯลฯ) ได้กำหนดที่อยู่ไว้แล้ว และอาจทำให้เสียเวลา
ทางออก: มุ่งเน้นไปที่แนวคิดของ NAT สิ่งเดียวที่จำเป็นคือกฎพื้นฐานของ NAT src-nat และอาจเป็นกฎของ DST-NATโดยไม่คำนึงว่าเครือข่ายท้องถิ่นของแต่ละเครือข่ายจะเหมือนกันหรือไม่