一文搞懂DNAT与SNAT：内网外网通信的“流量翻译官”

导读：在运维工作中，内网服务器访问外网、外网用户访问内网服务，是最常见的场景之一。而实现这两种通信的核心技术，就是DNAT和SNAT。很多运维同学刚接触时，总会混淆两者的作用——到底哪个是“内网出外网”用的？哪个是“外网进内网”用的？配置时又该注意什么？本文就从实际应用场景出发，用通俗的语言拆解DNAT与SNAT的核心逻辑，从适用场景、语法格式、基础用法，到高级技巧和最佳实践，再到日常工作中的实操示例，帮你彻底理清两者的区别与联系，让你在配置时不再踩坑。

一、适用场景及痛点

要搞懂DNAT和SNAT，首先得明确它们各自的适用场景，以及没有它们时会遇到的问题。我们可以把网络通信想象成“快递收发”：内网IP就像小区里的房间号，外网IP就像小区的门牌号，而DNAT和SNAT就是小区门口的“快递中转站”。

1、SNAT的适用场景及痛点

适用场景：内网设备（服务器、电脑）需要访问外网资源，比如内网服务器更新系统、下载软件，员工电脑浏览网页、访问外网API等。

核心痛点：内网使用的是私有IP（如192.168.0.0/16、10.0.0.0/8等），这类IP无法在公网中被路由——就像快递员找不到只写了“3号楼2单元501”却没写小区地址的快递一样，内网设备直接用私有IP访问外网，数据包会在公网入口处被丢弃，无法到达目标服务器。

2、DNAT的适用场景及痛点

适用场景：外网用户需要访问内网服务，比如内网部署的网站、数据库、FTP服务，或者远程连接内网服务器等。

核心痛点：外网用户只知道公网IP，不知道内网私有IP，直接访问公网IP的话，数据包到达路由器后，路由器不知道该转发到内网哪个设备——就像快递员只知道小区门牌号，却不知道具体房间号，无法精准投递快递。同时，内网服务的私有IP对外不可见，直接暴露内网IP会带来安全风险。

二、基本语法格式

DNAT和SNAT的配置主要依赖iptables工具（Linux系统默认自带），核心是通过“地址转换”规则实现流量转发。下面先明确两者的基础语法，这里我们以最常用的Linux系统为例，所有规则均基于iptables编写。

1、SNAT基本语法

SNAT的核心是“修改数据包的源IP”，将内网私有IP替换为外网公网IP，让外网服务器能识别并响应。

基础语法格式：

iptables -t nat -A POSTROUTING -s 内网网段 -o 外网网卡 -j SNAT --to-source 公网IP

各参数说明：

-t nat：指定操作的表为nat表（网络地址转换表），iptables的nat表专门处理地址转换相关规则；

-A POSTROUTING：在POSTROUTING链（数据包发送出去之前的最后一个链）中添加规则；

-s 内网网段：指定需要转换的源IP网段，比如192.168.1.0/24（表示192.168.1.0到192.168.1.255的所有内网IP）；

-o 外网网卡：指定数据包出口的网卡，比如eth0（需根据实际服务器网卡名称修改）；

-j SNAT：指定动作是SNAT（源地址转换）；

–t