+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

маскировка vs NAT

маскировка vs NAT, RouterOS

kaptain1

Guest

05.09.2010 08:23:00

Всем привет! Да, вопрос для полного новичка. Я искал на форуме и прочитал много постов, но всё равно не до конца понимаю, что такое маскарадирование и чем оно отличается от NAT. Читал, что маскарадирование переводит множество приватных IP в один публичный IP, но разве NAT уже не делает этого? Пытаюсь понять, что такое маскарадирование, чтобы решить, нужно ли мне создавать запись маскарадирования (в окне NAT) для каждой сети Hotspot? Я заметил, что сеть Hotspot работает в любом случае — с записью маскарадирования или без неё. Поясните, пожалуйста. Спасибо!

thermant

Guest

22.09.2010 16:22:00

Думал, что смогу прояснить этот вопрос, так как недавно сам с ним сталкивался. Как сказал Тим, «masquerade» — это NAT. Это src-nat для каждого локального подключения, которое проходит через роутер в интернет, меняющий исходные адреса с локальных (192.168.x.x) на публичный IP роутера. С другой стороны, есть «redirect» — это dst-nat, который меняет адрес назначения всех запросов от ваших локальных клиентов на LAN-адрес роутера. Правильно? Думаю, да. Надеюсь, это поможет.

fewi

Guest

22.09.2010 16:40:00

Из руководства по iptables: SNAT Этот таргет допустим только в таблице nat, в цепочке POSTROUTING. Он указывает, что нужно изменить исходный адрес пакета (и все последующие пакеты в этом соединении также будут изменены), после чего обработка правил прекращается. MASQUERADE Этот таргет тоже допустим только в таблице nat, в цепочке POSTROUTING. Его стоит использовать только с динамически назначаемыми IP-адресами (например, при拨拨-соединениях): если у вас статический IP, используйте таргет SNAT. Маскарад — это по сути сопоставление с IP-адресом интерфейса, через который выходит пакет, но с дополнительным эффектом: соединения забываются, если интерфейс исчезает. Именно так и правильно, ведь при следующем拨拨-соединении IP интерфейса, скорее всего, будет другим, а старые соединения всё равно потеряются. Masquerade и src-nat (в RouterOS так называют SNAT) по сути одно и то же, но src-nat переводит на статический IP-адрес, а masquerade автоматически выбирает IP-адрес интерфейса, через который трафик покидает роутер. Это очень удобно для интерфейсов с адресами через DHCP или PPP. Destination NAT — совсем другая вещь: он тоже меняет IP-адрес в заголовке IP, но изменяет адрес назначения (и, следовательно, перенаправляет пакет на другой хост, отличный от того, на который изначально был отправлен источник), а не исходящий IP.

thermant Guest	#4 0 22.09.2010 16:46:00 Эээ… Я думал, именно это я и сказал. Не так ли? Ну что ж, значит, так и есть. У нас теперь есть официальный ответ. -Z-

SurferTim Guest	#5 0 22.09.2010 16:49:00 На самом деле, именно это я и сказал…

thermant Guest	#6 0 22.09.2010 17:05:00 Ах да, ну да, это так. Ой, и я уточнил. Кхм…

bhesterberg Guest	#7 0 22.01.2017 16:24:00 Чтобы добавить немного информации... Мне сложно понять, как получить доступ к устройствам за роутерами. Пишу здесь, потому что мне сказали, что не стоит использовать masquerade nat, а лучше сделать srcnat, потому что masquerade блокирует доступ за роутер. В чем-то я понимаю эту логику. Итак, моя схема вкратце: главный роутер — UBNT EdgeRouter Pro с 8 портами. Кстати, беспроводной провайдер. От него идут подключения к другим сайтам, на каждом из которых установлен MT-роутер (или будет скоро), работающий на ospf. Но на данный момент единственный способ зайти за роутеры — это создать VPN-подключение к каждой башне. Когда я подключаюсь по VPN, могу добраться до радиоустройств клиентов и точек доступа. Но должен же быть более простой способ. Маршрутизация? Кто-нибудь что-то посоветует?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры