在计算机网络方面,我有点菜鸟。我学习NAT已有一段时间了,但是在尝试弄清目标NAT在某些情况下到底能做什么时,我遇到了很大的困难。特别是,dst-nat是否还可以用于更改来自您自己的LAN端口而不是仅来自WAN端口(用于端口转发)的数据包的IP标头?
DNAT和/或SNAT可以在任何两个接口之间使用。在这种情况下,“ LAN”和“ WAN”在技术上没有区别。只要所有数据包(请求和响应)都通过路由器上的两个不同接口,就可以使用NAT 。
请注意,“两个接口”规则必须同时应用于原始数据包和重写数据包。因此,如果要将LAN→WAN连接重定向回相同的LAN,请首先在此站点上搜索“发夹”。
是否应在LAN子网之间使用NAT是另一个问题。DNAT有一些合法用途-例如将旧地址重定向到新服务器-但是,关于SNAT不能说相同。您应该使用SNAT的唯一位置是WAN接口上。
但是,如果用“ LAN端口”表示单个子网,则否–具有与源和目标相同的子网的数据包实际上不会通过路由器,也无法进行NAT。
大多数家庭路由器在单个子网中具有所有LAN端口,因此它们绕过NAT规则。(实际上,通常在硬件级别交换4个“ LAN”端口,并完全绕过路由器的CPU。)
有一个例外:将“客户端隔离”(又名PVLAN)与“代理ARP”一起使用将甚至迫使相同子网的数据包通过路由器,并再次使NAT成为可能。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句