SNAT & DNAT

NAT，全称网络地址转换，是一种在IP数据包通过路由器或防火墙时，修改其源IP地址或目标IP地址（或端口）的技术。

 

核心目的

主要为了解决IPv4地址短缺问题，并提升网络安全性。它允许多个设备在内部网络中使用私有IP地址，共享一个或少数几个公网IP地址来访问互联网。

工作原理（以最常见的场景为例）

想象一个家庭或办公室网络：

1. 内部网络：你的电脑、手机等设备被分配了私有IP地址（如 192.168.1.100）。

2. 网络出口：路由器（充当NAT设备）拥有一个公网IP地址（如 203.0.113.1）。

3. 转换过程：

   • 当你的电脑（192.168.1.100）访问一个公网网站时，发出的数据包源IP是私有地址。

   • 路由器拦截这个数据包，将源IP地址替换为自己的公网IP（203.0.113.1），并记录下这条连接映射（哪个内网IP、用了哪个端口）。

   • 网站服务器将响应发回路由器的公网IP。

   • 路由器根据之前记录的映射表，将响应数据包的目标IP改回你电脑的私有地址（192.168.1.100），并转发给它。

主要类型

• SNAT：转换源地址。用于内网设备主动访问外网（如上网浏览）。这是最常见的NAT类型。

• DNAT：转换目标地址。用于将公网的访问请求转发到内网的特定服务器（如将公网IP的80端口映射到内网Web服务器）

 

SNAT（源网络地址转换）与DNAT（目标网络地址转换）是NAT（网络地址转换）的两种核心类型，主要区别在于转换的对象和流量方向。

特性	SNAT (Source NAT)​	DNAT (Destination NAT)​
转换对象​	转换数据包的源IP地址（和端口）​	转换数据包的目标IP地址（和端口）​
主要目的​	使内网/私有网络中的设备能够主动访问公网/外部网络。	使公网/外部网络的请求能够访问到内网/私有网络中的服务。
流量方向​	出向流量（从内网到公网）。	入向流量（从公网到内网）。
典型应用场景​	1. 公司或家庭局域网内的电脑共享一个公网IP上网。 2. 云服务器（ECS）通过NAT网关统一出口IP访问互联网（如软件更新、调用API）。	1. 将公网IP的80端口映射到内网Web服务器的80端口，对外提供网站服务。 2. 将公网IP的22端口映射到内网某台服务器的22端口，实现远程SSH管理。
工作位置​	通常在网络出口网关（如路由器、防火墙、NAT网关）上，在数据包离开内网时进行转换。	通常在网络入口网关（如路由器、防火墙、NAT网关）上，在数据包进入内网时进行转换。
别名/常见形式​	出口NAT、IP伪装（Masquerading，一种特殊的SNAT）。	端口转发、虚拟服务器。