Locked History Actions

Source Network Address Translation

Source Network Address Translation

SNAT

Išeities tinklo adresų keitimas


Apibrėžimas

Tikslas SNAT (angl. Source Network Address Translation) naudojamas tinklo adresų vertimui, t. y. šaltinio IP adreso keitimui IP paketo antgalvyje.


Paaiškinimai

Šį veiksmą, pavyzdžiui, galima naudoti tiekiant lokalaus tinklo kompiuteriams Interneto ryšį turint tik vieną unikalų IP adresą. Tam būtina įjungti paketų persiuntimą (angl. forwarding) branduolyje ir sukurti taisykles, kurios vers lokalaus tinklo vidaus IP adresus į realų išorinį adresą. Rezultate, išorinis pasaulis nieko nežinos apie lokalų tinklą, bus manoma, kad užklausos atėjo iš tarpsegmentinio ekrano.

SNAT leidžiama atlikti tik nat lentelėje, POSTROUTING grandinėlėje. Jei pirmas sujungimo paketas buvo paveiktas SNAT, tai visi sekantys paketai iš to sujungimo, bus išversti automatiškai ir neeis per šią taisyklių grandinėlę.

Raktas

--to-source

Pavyzdys

iptables –t nat –A POSTROUTING –p tcp –o eth0 –j SNAT --to-source
194.236.50.155-194.236.50.160:1024-32000

Aprašymas

Raktas --to-source naudojamas adreso, priskiriamo paketui, nurodymui. Kitaip tariant, po šio rakto nurodomas IP adresas, kuris bus patalpintas į paketo antgalvį kaip šaltinio adresas. Jeigu yra numatyta paskirstyti apkrovą tarp kelių tarpsegmentinių ekranų, galima nurodyti adresųdiapazoną, kur pradinis ir baigtinis diapazono adresai užrašomi per brūkšnelį: 194.236.50.155-194.236.50.160. Tada, konkretus IP adresas bus išrenkamas iš diapazono atsitiktinai kiekvienam naujam srautui. Papildomai galima nurodyti prievadų diapazoną, kurie bus naudojami tik SNAT reikmėms. Visi šaltinio prievadai bus atsitiktinai pakeisti nurodyto diapazono numeriais. iptables stengiasi išvengti prievadų pakeitimo, tačiau tai ne visada pavyksta. Jeigu prievadų diapazonas nenurodytas, tai šaltinio prievadai žemesni nei 512 bus pakeisti 0-511 diapazone, 512-1023 diapazono prievadai bus perrinkti 512-1023 diapazone, ir prievadai iš 1024-65535 diapazono bus atsitiktinai pakeisti 1024-65535 diapazone. Paskirties prievadai nekeičiami.


Naudota literatūra

1. http://www.opennet.ru/docs/RUS/iptables/#SNATTARGET
2. http://security.maruhn.com/iptables-tutorial/x10324.html