源 NAT、目标 NAT 和伪装之间有什么区别?
例如,我认为 IP Masqurading 是他们过去在 Linux 中的称呼?但令我困惑的是,在我们的 Astaro 防火墙中,有 IP Masquarading 和 NAT 选项。所有这些有什么区别?
这是一个关于发夹式 NAT(环回 NAT)的规范问题。
这个问题的一般形式是:
我们有一个包含客户端、服务器和 NAT 路由器的网络。路由器上有到服务器的端口转发,因此它的一些服务可从外部使用。我们有指向外部 IP 的 DNS。本地网络客户端无法连接,但外部工作。
这个问题的答案是从多个其他问题合并而来的。他们最初引用了 FreeBSD、D-Link、Microtik 和其他设备。然而,他们都试图解决同样的问题。
使用 NAT 时,如何将运行 libvirt/KVM 的服务器上的端口转发到 VM 上的指定端口?
例如,主机的公共 IP 为 1.2.3.4。我想将端口 80 转发到 10.0.0.1,将端口 22 转发到 10.0.0.2。
我假设我需要添加 iptables 规则,但我不确定在哪里合适以及应该指定什么。
iptables -L 的输出
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- anywhere anywhere udp dpt:domain
ACCEPT tcp -- anywhere anywhere tcp dpt:domain
ACCEPT udp -- anywhere anywhere udp dpt:bootps
ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere 10.0.0.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 10.0.0.0/24 …我有一个来自同一个 IP 的数百个页面请求的列表,我需要知道这些是否可能是不同计算机的请求。
我不完全理解 NAT 和虚拟机上的桥接连接之间的区别。据我发现,如果我们建立桥接连接,与我们的主机在同一网络上的机器可以访问我们的虚拟机。
好吧,在互联网上,人们写道 NAT 和桥接虚拟机都可以像主机一样拥有 IP 地址,但是如果是 NAT,则同一网络上的机器无法访问我们的虚拟机,但如果它是桥接的,那么他们可以.
如果 NAT 和桥接连接都可以有不同的 IP 地址,那么为什么我不能访问 NAT 的地址而我可以访问桥接地址呢?
注意:说明 NAT 连接受到保护是不够的;我想知道那是怎么回事。
可能的重复:
切换到 IPv6 并摆脱 NAT?你在开玩笑吗?
我正在考虑在 IPv4 中大部分时间你有一个单一的点来配置防火墙的方式,主要是你的路由器,但是如果每个人都有一个全局可访问的 IP 地址,这是否意味着每个计算机用户基本上都是负责管理自己的防火墙?
(我的意思是我承认在使用公共 wifi 接入点时也是如此,但仍然......)
我有一个 Windows Server,它有大约 10 个静态绑定的 IP 地址。问题是我不知道如何指定默认 IP 地址。
有时,当我为 NIC 分配新地址时,默认 IP 地址会随着在 NIC 上高级 IP 配置中输入的最后一个 IP 发生变化。这会导致传出公共 IP 也发生变化(因为我使用 NAT)。
即使此问题当前存在于 Windows Server 2008 上。
绑定多个IP地址的网卡如何设置默认IP地址?
替代文字 http://www.nmediasolutions.com/_images/probleme/ip.png
这是输出ipconfig:
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
IPv4 Address. . . . . . . . . . . : 192.168.99.49(Preferred)
Subnet Mask . . . . . . . …当从内部接口上的计算机访问 ASA 或类似设备的外部接口上的 Web 服务器时,内部到内部 NAT 又名 NAT 环回解决了发夹式 NAT 问题。这可以防止 DNS 管理员必须维护一个重复的内部 DNS 区域,该区域具有相应的 RFC1918 地址,用于通过 NAT 转换为公共地址的服务器。我不是网络工程师,所以我可能会遗漏一些东西,但这似乎很容易配置和实施。非对称路由可能是一个问题,但很容易缓解。
根据我的经验,网络管理员/工程师更喜欢系统人员只运行 split-dns,而不是配置他们的防火墙来正确处理 NAT 发夹。为什么是这样?
我理解每个 IP 地址有 65,535 个端口背后的最初原因:这是 16 位或 2 字节数字可以表示的最高数字,而且无法想象计算机能够节省更多而不是像端口这样微不足道的东西,或者类似的东西。实际上,每个端口可能需要超过 1 位,因为每个端口都可以打开、阻止、“隐藏”或其他,但出于某种原因,人们总是说端口以 16 位数字运行。如果我有这方面的任何错误,请务必告诉我。
然而,在一个大多数计算机都是 32 位的世界,并且有足够的内存/空间来腾出几个端口,为什么我们仍然有这么多端口?我们正在迁移到 HTML5、HTTP2.0、IPv6 和其他绝对不同的版本,那么为什么端口不一样呢?其中许多允许超过 16 位;事实上,IPv6 允许 16个字节!我知道其中许多需要几年甚至几十年的时间,但是为什么所有关于这些升级的喋喋不休,甚至没有看到更多端口(我,一个业余爱好者,听说过)?
我能看到的保留 65,535 个端口的唯一两个原因是让大企业保留他们旧的遗留系统,这几乎不是一个很好的理由,以及嵌入式系统的兴起,其中许多很小,空间、内存等都很少。 ,很快就会进入互联网,很多都是物联网的一部分。有了这些嵌入式系统,也许我们可以让它们少一些端口,当一台大型台式电脑尝试连接时,可以说是温和的,因为婴儿嵌入式系统只能使用~65,000个端口。
另一方面,我可以想到一些拥有更多端口的好理由,其中大部分与 NAT 和其他系统有关,其中多个私有 IP 地址必须使用相同的公共 IP 地址与 Internet 的其余部分通信,就像 VM 在同一台计算机上的兴起一样,都使用相同的 IP 地址。从技术上讲,每个 VM IP 地址有 65,535 个端口,但实际上它们都使用主机的端口。在这种情况下,这些系统可能会很快耗尽端口。另一种特殊情况是运营商级 NAT,其中一个公共 IP 地址被转换为多个私有 IP 地址,并且这些私有地址中的至少一个被转换为另一组甚至更多的私有地址。同样,每个私有 IP 地址在技术上都有自己的一组 65,535 个端口,但这是一种错觉,当数据传到公共互联网时,他们正在使用公共 IP 的端口。我不确定我们是否一定需要 NAT 本身,但我们将需要类似的东西来保存地址,即使 IPv6 会给我们提供大量的地址。当我们有这样的情况时,我们甚至能承受不超过 65,535 个端口吗?
那么,为什么我们仍然只有 65,535 个端口,是否有计划允许更多?
PS 我知道技术上每个 IP 地址有 65,536 个端口,但端口 0 通常不用于任何事情。
组织的计算机网络具有 192.168/16 IP 地址范围的 NAT。有一个部门,其服务器的 IP 地址为 192.168.xy,该服务器使用另一个 IP 地址范围为 172.16/16 的 NAT 处理该部门的主机。
因此有 2 层 NAT。为什么他们没有子网划分。这将允许轻松路由。
我觉得多层 NAT 会导致性能损失。你能帮我比较一下这两种设计策略吗?
更新:
@Jon 一些更多信息
在和朋友讨论时,我们意识到子网划分会导致以下问题。计算机的 ARP 请求会淹没整个组织的网络。如果路由器不转发这些请求,那么一个部门的 PC 将无法连接到其他部门的 PC,如果它们位于不同的 NAT 后面,则无论如何都无法连接。通过数据包嗅探器,我们看到有大量 ARP 请求,因为部门中的大多数计算机都启用了 Windows 上的文件共享。
如何解决这个问题呢?
此外,如果两台计算机位于不同的 NAT 之后,则它们无法相互连接。