Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 11471 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Snat vs masquerating

nethole
what's the difference between


This thread was automatically locked due to age.
  • 0
    Good question!  I hope someone from Astaro will tell us how masquerading is done any differently in the Astaro than the following:

    Network definition: Internet = 0.0.0.0/0 bound to interface 'External'
    SNAT: 'Internal (Network) -> Any -> Internet' change source to 'External (Address)'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Yes there is a difference. While your posted SNAT rule only translates the IP address, with Masquerading, IPs and Ports are _dynamically_ chosen at the Gateway to allow several connections from the same source port from different computers at once.

    Also, with SNAT, the Gateway has no clue where to send server responses to because the original client IP is not stored in the NAT table.

    Think of SNAT/DNAT/FNAT as a static translation.
  • 0 in reply to trollvottel
    Thanks, Mario, for the explanation of how Astaro does masquerading.  I'm confused about S/DNAT being static; if that's the case, then how can hundreds of public clients connect to an internal webserver via a DNAT from a public IP on an external Astaro interface?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks, Mario, for the explanation of how Astaro does masquerading.  I'm confused about S/DNAT being static; if that's the case, then how can hundreds of public clients connect to an internal webserver via a DNAT from a public IP on an external Astaro interface?


    Hi Bob,

    Imagine clients A, B, and C connect to Web Server W.
    W is actually the firewall address.
    S is a DNAT'd web server behind the firewall.

    DNAT doesn't change the source address for A,B,C; it only changes the destination address. The server S still sees the source addresses for A, B, C, and the original client port #s.

    If the server needs to make outgoing connections, then SNAT should work for a single server, or MASQ for a server or network.

    Barry
  • 0 in reply to BarryG
    See, Barry, that's the key question: isn't masqing just SNATting a subnet?  I bet that it appears the same from outside, but that doesn't mean that it's implemented the same way in the Astaro as the definition and SNAT in my post #2 above.

    Cheers - Bob
  • 0 in reply to BAlfson
    As Mario said, MASQ changes the source ports, whereas SNAT doesn't.

    I'm no expert; You might want to read the Linux kernel / netfilter site for more details, e.g. netfilter/iptables project homepage - Documentation about the netfilter/iptables project

    Barry
  • 0 in reply to BarryG
    I don't think SNAT'ing a network would be reliable, if it works at all.

    Barry
  • 0 in reply to BarryG
    Barry, if it didn't work, then you couldn't send HTTP traffic out a secondary WAN connection with SNAT, could you?

    I don't know the answer, I'm just trying to understand.

    Cheers - Bob
  • 0 in reply to BAlfson
    Not sure, but wouldn't policy routing work for that?

    Barry
  • 0 in reply to BarryG
    Yeah, but isn't the "standard" approach, recommended in a knowledgebase article, the SNAT instead of a policy route?*

    Cheers - Bob
    * You're tempting me to ask how Astaro implements that differently, aren't you?...