Masquerade ou Snat ?

**luizhumberto** · 25-01-2006, 09:03

Tem algum ganho de desempenho, se ao invés de utilizar o -j Masquerade usar o -j SNAT --to $IP_ext ?

Levando em conta que o ip é fixo.

**pssgyn** · 25-01-2006, 10:09

Luiz, bom dia ......
Eu também tinha essa dúvida, mas se você executar um man iptables, lá explica uma diferença, que no início eu estava apanhando. Nessa explicação que acompanha as distros Linux, fala que o MASQUERADE é utilizado para quando o acesso a internet é por IP Dinâmico, ao passo que com IP Fixo usa-se o SNAT. Inclusive aqui na empresa, temos ip fixo e dinâmico. Quando foi instalado a primeira vez o nosso servidor da internet, por terceiros, eles utilizaram o SNAT. Quando fui configurar a primeira vez um servidor com IP Dinâmico, coloquei o SNAT e não funcionava. Coloquei o MASQUERADE e funcionou legal. Aí aprendi a diferença. Agora quanto a ganho de desempenho, honestamente não sei mesmo. Que me corrijam os membros do Underlinux se eu estiver errado.
Um grande abraço ...... :good:

8)

rabbarros · 25-01-2006, 10:19

A vantagem tambem eh que seu firewall nao estiver bem configurado e vc estiver utilizando o MASQUERADE ele ira passar tudo, e se vc estivesse utilizando o SNAT vc so iria deixar passar os servicos que realmente precisam utilizar acesso a internet. Com SNAT vc estaria aumentando a seguranca. Veja um caso de um cliente meu, alguem instalou um servidor de e-mail e outro server com firewall, e o MASQUERADE nao estava especificando qual interface ele mascarar, ou seja, estava mascarando a saida e a entrada, resultado estavam utilizando o server dele para envio de spam, pq no server de e-mail o relay estava o IP do propio server de e-mail e o IP do firewall, como estava mascarado todos os e-mails chegavam como sendo do firewall.
Solucao ou mascarar somente a interface de saida ou usar SNAT nas saidas que realmente o clinte iria utilizar.

**mistymst** · 25-01-2006, 14:38

o SNAT te da mais controle, pois nele voce "seta" o ip que ficará no header, e ja no MASQUERADE ele "encontrara" o ip sozinho, ou seja, ele pegará normalmente o endereco da interface que o pacote estara saindo... se eu nao me engano nao existe outra diferenca além dessa, mas essa sim é bem pratica, deve haver alguns outros detalhes q so fussando o iptables para ir atras

**pssgyn** · 27-01-2006, 01:52

Mas galera, como todos os nossos mais entendidos comentam. Ler, ler, ler. Dêem uma olhadinha no comando man iptables. Existem diferenças interessantes. Principalmente no uso do MASQUERADE com SNAT. Tem uma observação importante sobre isso. E não precisa ir no Google. Está no próprio comando man iptables dentro do Linux.
Um grande abraço a todos ......... :good:

Masquerade ou Snat ?

Ferramentas de Tópicos