6.3. nftables를 사용하여 NAT 구성
nftables 를 사용하면 다음 네트워크 주소 변환(NAT) 유형을 구성할 수 있습니다.
- 마스커레이딩
- 소스 NAT(
SNAT) - 대상 NAT (
DNAT) - 리디렉션
6.3.1. 다양한 NAT 유형: 마스커레이딩, 소스 NAT, 대상 NAT 및 리디렉션
NAT(네트워크 주소 변환) 유형은 다음과 같습니다.
마스커레이딩 및 소스 NAT(SNAT)
NAT 유형 중 하나를 사용하여 패킷의 소스 IP 주소를 변경합니다. 예를 들어 인터넷 서비스 공급자는 10.0.0.0/8 과 같은 개인 IP 범위를 라우팅하지 않습니다. 네트워크에서 개인 IP 범위를 사용하고 사용자가 인터넷의 서버에 도달할 수 있어야 하는 경우 이러한 범위의 패킷의 소스 IP 주소를 공용 IP 주소에 매핑합니다.
마스커레이딩과
SNAT 모두 매우 유사합니다. 차이점은 다음과 같습니다.
- 마스커레이딩은 발신 인터페이스의 IP 주소를 자동으로 사용합니다. 따라서 발신 인터페이스에서 동적 IP 주소를 사용하는 경우 마스커레이딩을 사용합니다.
SNAT는 패킷의 소스 IP 주소를 지정된 IP로 설정하고 발신 인터페이스의 IP를 동적으로 조회하지 않습니다. 따라서SNAT는 마스커레이딩보다 빠릅니다. 발신 인터페이스에서 고정 IP 주소를 사용하는 경우SNAT를 사용합니다.
대상 NAT (DNAT)
이
NAT 유형을 사용하여 들어오는 트래픽을 다른 호스트로 라우팅합니다. 예를 들어 웹 서버가 예약된 IP 범위의 IP 주소를 사용하므로 인터넷에서 직접 액세스할 수 없는 경우 라우터에서 DNAT 규칙을 설정하여 들어오는 트래픽을 이 서버로 리디렉션할 수 있습니다.
리디렉션
이 유형은 체인 후크에 따라 패킷을 로컬 시스템으로 리디렉션하는 DNAT의 특별한 경우입니다. 예를 들어 서비스가 표준 포트와 다른 포트에서 실행되는 경우 표준 포트에서 이 특정 포트로 들어오는 트래픽을 리디렉션할 수 있습니다.
