Hallo,
man kann ein NAT sowohl via ip rule add nat einrichten als auch mit iptables -j MASQUERADE Worin liegt der Unterschied zwischen beiden NATs? Irgendwie kann ich dazu nichts finden was den Unterschied erklärt.
Anmeldungsdatum: Beiträge: 28 |
Hallo, man kann ein NAT sowohl via ip rule add nat einrichten als auch mit iptables -j MASQUERADE Worin liegt der Unterschied zwischen beiden NATs? Irgendwie kann ich dazu nichts finden was den Unterschied erklärt. |
Anmeldungsdatum: Beiträge: 603 |
Dann hast Du anscheinend nicht gesucht und hoffst, dass andere die Arbeit machen? 😬 Nur aus Neugier hab ich mal gesucht, es gibt auf jeden Fall haufenweise Erklärungen, die auch alle relativ leicht zu finden sind. Aber egal... das erste ist Dumb-NAT... oder korrekterweise als Stateless NAT bezeichnet. Mit dem anderen könnte man wohl Stateful NAT einrichten, indem Metainformation des TCP-Paketes ausgewertet werden. Wobei ich das selber nie gemacht/gebraucht habe. Meine Firewall mit Iptables ist auch nur Dumb-NAT. Wer mit zustandslosen NAT klarkommt, wir wohl bei beiden keinen nennenswerten Unterschied bemerken, weil beides funktioniert. Wobei mir Paket-Filter-NAT etwas nachvollziehbarer/eingängiger erscheint... das ist aber nur mein Empfinden. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8616 Wohnort: Münster |
|
Anmeldungsdatum: Beiträge: 603 |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 28 |
Wahrscheinlich habe ich mit den falschen Suchbegriffen gesucht. Ich bin immer nur auf Seiten gekommen, die die Einrichtung erklärt haben. Wenn du mir einen Link schicken kannst, bin ich dir dazu sehr dankbar. So wie ich das verstehe ist sowohl iptables -J MASQUERADE stateless also auch via ip rules. Der Vorteil von ip tables ist, dass man die IP des Interfaces nicht explizit angeben muss wie bei ip rule, aber dieser Unterschied ist ja offensichtlich. Beispiele für stateful NAT habe ich auch nicht gefunden. Wenn es um stateful geht, dann immer um "simples routing" in der FORWARD chain mit dem conntrack Modul. |
Anmeldungsdatum: Beiträge: 603 |
Sowohl mit nftables als auch mit iptables ist Stateful NAT bei Einbindung der nf_conntrack-Module möglich. Der Unterschied zu den iproute2-Tools ist imho, dass da kein Matching über die Metainformationen des Paketes möglich ist. Aber wie gesagt, in der Tiefe habe ich mich damit noch nicht befasst, weil mir die einfachen Paketfilterregeln reichen. Was m.E. wichtiger ist, ist kB's Hinweis... da kann ich nämlich jetzt gar nix zu sagen. Ich habe nur festgestellt, dass das Paket iproute2 anscheinend immer noch routing-policies unterstützt. Ich nutze das allerdings nicht, weiss also nicht, ob das überhaupt noch einsetzbar ist. Und da jetzt lange rumzutesten fehlt mir die Lust. |