Linux防火墙实现SNAT与DNAT

一、SNAT与DNAT简介

1、SNAT(Source network address translation)

由于ipv4地址的不充足，导致很多企业无法使用上ipv4地址，所以（IANA）ICANN为了解决这个问题，提出了NAT的和私有地址以及公有地址的概念。

在所有的ipv4地址中，划出3部分作为私有地址，这三部分私有地址为：

• 10.0.0.0~10.255.255.255
• 172.16.0.0~172.31.255.255
• 192.168.0.0~192.168.255.255

除了上述的3个地址段之外的所有A，B，C类地址都为公有地址。ICANN规定只有公网地址可以在Internet上通信。你可以随意的在你的内网环境中配置私网地址，但是也仅仅只限于内网通信，你的私网地址是绝对不可能通过运营商路由出去，运营商都会在家庭宽带或者企业网络入口处设置流量策略，拒绝所有的私有地址作为源ip地址访问Internet。

那么家庭用户或者企业用户该如何访问internet？

家庭用户内网用私有地址，然后家里的光猫或者ADSL拨号设备获取到一个“公网地址”，那么当用户访问internet的时候，可以通过SNAT技术将访问internet的数据包的源IP地址由私网地址更改为公网地址，这样一个源ip地址是公网地址的数据包就可以被SP路由了。

2、DNAT(Destination network address translation) & PAT（port addresstranslation）

SNAT是针对源ip地址做的地址转换，DNAT就是根据目的地址做的地址转换。