VPN的NAT转发为什么只需要做SNAT?
比如说:
服务器A公网为 1.1.1.1
里面有两用户
B: 192.168.1.1
C: 192.168.1.2
假设B和C需要访问外网D 2.2.2.2
B->D
192.168.1.1 -> 2.2.2.2
B数据包出口时做了SNAT 变成
1.1.1.1 -> 2.2.2.2
那么D的Reply必须是
2.2.2.2 -> 1.1.1.1
那么问题来了,
服务器如何知道这个Reply包对应哪个内网用户?
应该怎么实现这种DNAT? 在ip层貌似无解
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
我来发表一些浅见。
SNAT之后,在Gateway上是如何区分流量来自哪一个内网终端的,这是令人很困惑的问题。在一般的内网穿透过程中,Gateway会对每一个终端发起的向外网的连接保存一个Session,并且使用端口号来区分不同的Session。用题目中的例子来看:网关地址是192.168.1.3
192.168.1.1:50000 -> Gateway -> 2.2.2.2:80
经过Gateway之后,数据包被SNAT:
1.1.1.1:60000 -> 2.2.2.2:80
也就是说,服务器看到的客户端地址端口号是网关的。
现在服务器返回数据:
1.1.1.1:60000 <- 2.2.2.2:80
这时候Gateway发现自己的60000端口上有数据,在Session表里查一查,发现是192.168.1.1的,对应端口是50000.这时候就做一个DNAT:
192.168.1.1:50000 <- 2.2.2.2:80
把目标地址(1.1.1.1:60000)改为了192.168.1.1:50000,这样数据包就被成功送到了请求的客户端,而且此时客户端看见的服务器地址任然是2.2.2.2:80。