导读:在运维工作中,内网服务器访问外网、外网用户访问内网服务,是最常见的场景之一。而实现这两种通信的核心技术,就是DNAT和SNAT。很多运维同学刚接触时,总会混淆两者的作用——到底哪个是“内网出外网”用的?哪个是“外网进内网”用的?配置时又该注意什么?本文就从实际应用场景出发,用通俗的语言拆解DNAT与SNAT的核心逻辑,从适用场景、语法格式、基础用法,到高级技巧和最佳实践,再到日常工作中的实操示例,帮你彻底理清两者的区别与联系,让你在配置时不再踩坑。
一、适用场景及痛点
要搞懂DNAT和SNAT,首先得明确它们各自的适用场景,以及没有它们时会遇到的问题。我们可以把网络通信想象成“快递收发”:内网IP就像小区里的房间号,外网IP就像小区的门牌号,而DNAT和SNAT就是小区门口的“快递中转站”。
1、SNAT的适用场景及痛点
适用场景:内网设备(服务器、电脑)需要访问外网资源,比如内网服务器更新系统、下载软件,员工电脑浏览网页、访问外网API等。
核心痛点:内网使用的是私有IP(如192.168.0.0/16、10.0.0.0/8等),这类IP无法在公网中被路由——就像快递员找不到只写了“3号楼2单元501”却没写小区地址的快递一样,内网设备直接用私有IP访问外网,数据包会在公网入口处被丢弃,无法到达目标服务器。
2、DNAT的适用场景及痛点
适用场景:外网用户需要访问内网服务,比如内网部署的网站、数据库、FTP服务,或者远程连接内网服务器等。
核心痛点:外网用户只知道公网IP,不知道内网私有IP,直接访问公网IP的话,数据包到达路由器后,路由器不知道该转发到内网哪个设备——就像快递员只知道小区门牌号,却不知道具体房间号,无法精准投递快递。同时,内网服务的私有IP对外不可见,直接暴露内网IP会带来安全风险。
二、基本语法格式
DNAT和SNAT的配置主要依赖iptables工具(Linux系统默认自带),核心是通过“地址转换”规则实现流量转发。下面先明确两者的基础语法,这里我们以最常用的Linux系统为例,所有规则均基于iptables编写。
1、SNAT基本语法
SNAT的核心是“修改数据包的源IP”,将内网私有IP替换为外网公网IP,让外网服务器能识别并响应。
基础语法格式:
iptables -t nat -A POSTROUTING -s 内网网段 -o 外网网卡 -j SNAT --to-source 公网IP
各参数说明:
-t nat:指定操作的表为nat表(网络地址转换表),iptables的nat表专门处理地址转换相关规则;
-A POSTROUTING:在POSTROUTING链(数据包发送出去之前的最后一个链)中添加规则;
-s 内网网段:指定需要转换的源IP网段,比如192.168.1.0/24(表示192.168.1.0到192.168.1.255的所有内网IP);
-o 外网网卡:指定数据包出口的网卡,比如eth0(需根据实际服务器网卡名称修改);
-j SNAT:指定动作是SNAT(源地址转换);
–t
)