История изменений
Исправление Pinkbyte, (текущая версия) :
В статическом нате сказано что он 1к1
Как уже сказали: SNAT это НЕ статический NAT.
Почитай уже теорию вдумчиво и конкретно по линуксовому NAT-у без привлечения статей, рассказывающих о NAT-ах на железяках типа Cisco и Juniper.
Если грубо - для SNAT conntrack(что это такое - гугл в помощь) хранит соответствие сопоставляет парам «адрес источника-порт-источника <-> адрес назначения порт назначения» отдельную комбинацию «транслированный адрес источника-транслированный порт источника».
Соответственно ответный трафик от адреса назначения с порта назначения, попадаемый на «транслированный адрес источника-порт источника» попадают на «адрес источника-порт источника».
В такой схеме важно уяснить одну вещь: нет глобального ограничения на ~20000 NAT-трансляций, как в давние времена, когда трансляции были port based и не учитывали адрес назначения и порт(точный лимит - это «dynamic port range», гугл в помощь).
Сейчас же, ничего не мешает использовать пару «транслированный адрес источника-транслированный порт источника» для РАЗНЫХ пар «адрес назначения-порт назначения». То есть сейчас мы упираемся в ~20000 трансляций на одну комбинацию IP-порт назначения. Это ограничение обходится в общем случае ТОЛЬКО увеличением пула транслируемых адресов, можно еще конечно расширирить диапазон портов для трансляции, но один хрен это всё - экстенсивный путь.
Исправление Pinkbyte, :
В статическом нате сказано что он 1к1
Как уже сказали: SNAT это НЕ статический NAT.
Почитай уже теорию вдумчиво и конкретно по линуксовому NAT-у без привлечения статей, рассказывающих о NAT-ах на железяках типа Cisco и Juniper.
Если грубо - для SNAT conntrack(что это такое - гугл в помощь) хранит соответствие сопоставляет парам «адрес источника-порт-источника <-> адрес назначения порт назначения» отдельную комбинацию «транслированный адрес источника-транслированный порт источника».
Соответственно ответный трафик от адреса назначения с порта назначения, попадаемый на «транслированный адрес источника-порт источника» попадают на «адрес источника-порт источника».
В такой схеме важно уяснить одну вещь: нет глобального ограничения на ~30000 NAT-трансляций, как в давние времена, когда трансляции были port based и не учитывали адрес назначения и порт.
Сейчас же, ничего не мешает использовать пару «транслированный адрес источника-транслированный порт источника» для РАЗНЫХ пар «адрес назначения-порт назначения». То есть сейчас мы упираемся в ~30000 трансляций на одну комбинацию IP-порт назначения. Это ограничение обходится в общем случае ТОЛЬКО увеличением пула транслируемых адресов, можно еще конечно расширирить диапазон портов для трансляции, но один хрен это всё - экстенсивный путь.
Исходная версия Pinkbyte, :
В статическом нате сказано что он 1к1
Как уже сказали: SNAT это НЕ статический NAT.
Почитай уже теорию вдумчиво и конкретно по линуксовому NAT-у без привлечения статей, рассказывающих о NAT-ах на железяках типа Cisco и Juniper.
Если грубо - для SNAT conntrack(что это такое - гугл в помощь) хранит соответствие сопоставляет парам «адрес источника-порт-источника <-> адрес назначения порт назначения» отдельную комбинацию «транслированный адрес источника-транслированный порт источника».
Соответственно ответный трафик от адреса назначения с порта назначения, попадаемый на «транслированный адрес источника-порт источника» попадают на «адрес источника-порт источника».
В такой схеме важно уяснить одну вещь: нет глобального ограничения на ~30000 NAT-трансляций, как в давние времена, когда трансляции были port based, не учитывая адрес назначения.
Сейчас же, ничего не мешает использовать пару «транслированный адрес источника-транслированный порт источника» для РАЗНЫХ пар «адрес назначения-порт назначения». То есть сейчас мы упираемся в ~30000 трансляций на одну комбинацию IP-порт. Это ограничение обходится в общем случае ТОЛЬКО увеличением пула транслируемых адресов, можно еще конечно расширирить диапазон портов для трансляции, но один хрен это всё - экстенсивный путь.