Bosh sahifa Wiki SNAT

SNAT

SNAT — Source Network Address Translation, ya’ni paket marshrutizator yoki gatewaydan o‘tayotganda uning manba IP manzilini boshqa manzilga almashtirish. Eng keng qo‘llanishi private IPv4 tarmoqdan internetga chiqayotgan paketlarni public manzil bilan ko‘rsatishdir. SNAT ko‘pincha port tarjimasi bilan birga ishlaydi, ammo tushuncha manba manzilining o‘zgarishini bildiradi.

Paket yo‘nalishi

Ichki host 10.0.0.25 internetdagi serverga paket yuboradi. Gateway chiqish yo‘lida manba manzilini 198.51.100.7 ga o‘zgartiradi va moslikni state jadvaliga yozadi. Javob tashqi manzilga qaytganda, gateway teskari tarjima qilib uni 10.0.0.25 ga yetkazadi.

Bir public IP dan ko‘p host foydalansa, TCP yoki UDP portlari ham almashtiriladi; bu PAT yoki masquerading ko‘rinishidir. Har ichki hostga alohida public IP biriktirilsa, one-to-one SNAT portni o‘zgartirmasdan ishlashi mumkin. Aniq xatti-harakat qurilma qoidasi va mapping turiga bog‘liq.

Statik manzil va masquerade

Statik SNAT qoidasi tarjima manzilini aniq ko‘rsatadi. Public IP doimiy bo‘lgan server yoki gateway uchun bu qulay. Masquerade esa chiqish interfeysining joriy manzilini avtomatik oladi; dinamik IP beriladigan WAN ulanishlarida ishlatiladi. Interfeys manzili o‘zgarsa, yangi ulanishlar yangi qiymat bilan tarjima qilinadi.

Linux netfilter tushunchasida SNAT va MASQUERADE odatda postrouting bosqichida, marshrut tanlangandan keyin qo‘llanadi. Bu gatewayga qaysi chiqish interfeysi ishlatilishini bilish imkonini beradi. Boshqa platformalarda nom va pipeline farq qilishi mumkin.

Routing bilan bog‘liqligi

SNAT faqat paket sarlavhasini o‘zgartiradi; paketning gatewaygacha va undan keyingi marshruti baribir to‘g‘ri bo‘lishi kerak. Javob NAT qurilmasini chetlab o‘tsa, unda teskari mapping bo‘lmagani uchun ichki manzil tiklanmaydi. Stateful SNAT simmetrik yo‘lni talab qilishi mumkin.

Bir nechta gatewayli tarmoqda policy routing, connection trackingni sinxronlash yoki trafikni bir qurilmaga yopishtirish ishlatiladi. Asimmetrik routing firewall state tekshiruvini ham buzishi mumkin. Diagnostikada NAT qoidasidan tashqari route table, reverse path filter va upstream qaytish marshruti tekshiriladi.

Xizmat va auditga ta’siri

Masofaviy server barcha mijozlarni bir translated IP sifatida ko‘radi. Rate limiting faqat IP bo‘yicha ishlasa, bitta ichki foydalanuvchining faoliyati boshqalarga ta’sir qilishi mumkin. Audit uchun gateway mapping loglari, vaqt sinxronligi, tashqi IP va port kerak bo‘ladi. Faqat public IP bir foydalanuvchini aniqlashga yetmaydi.

SNAT ichki topologiyani bevosita ko‘rsatmaydi, ammo maxfiylik yoki shifrlash vositasi emas. Payload, DNS so‘rovlari va tashqi endpointlar boshqa kuzatuv usullari bilan ko‘rinishi mumkin. Kirish nazorati firewall qoidalari orqali bajariladi.

Cheklovlar

IP manzilini payload ichida tashiydigan protokollar tarjimadan xabardor bo‘lishi kerak. IPsec AH header o‘zgarishini yaxlitlik xatosi deb ko‘radi; NAT traversal odatda ESP ni UDP ichiga joylaydi. Portlar va connection tracking xotirasi tugashi yangi ulanishlarni to‘xtatishi mumkin. IPv6 da manzil tejash uchun SNAT odatda zarur emas.

Manzil hovuzi

Katta gateway bitta translated IP o‘rniga public manzillar poolidan foydalanishi mumkin. Mapping hash, round-robin yoki mavjud port sig‘imiga qarab tanlanadi. Bir sessiyaning keyingi paketlari ayni manzilda qoladi. Tashqi tizim allowlist ishlatsa, pooldagi barcha ehtimoliy IP lar kiritiladi. Pooldan manzil olib tashlash mavjud state tugamaguncha bosqichma-bosqich bajariladi; aks holda faol ulanishlarning tashqi identiteti yo‘qoladi.

Bog‘liq tushunchalar

NAT, PAT, DNAT, Masquerading, Connection tracking, Policy routing