iptables nat 原理
同filter表一样,nat表也有三条缺省的"链"(chains):
把从外来的访问重定向到其他的机子上,比如内部SERVER,或者DMZ。
因为路由时只检查数据包的目的ip地址,所以必须在路由之前就进行目的PREROUTING DNAT;
系统先PREROUTING DNAT翻译——>再过滤(FORWARD)——>最后路由。
路由和过滤(FORWARD)中match 的目的地址,都是针对被PREROUTING DNAT之后的。
在路由以后在执行该链中的规则。
系统先路由——>再过滤(FORWARD)——>最后才进行POSTROUTING SNAT地址翻译
其match 源地址是翻译前的。
========================内网访问外网 -J SNAT============================
-j SNAT:源网络地址转换,SNAT就是重写包的源IP地址
SNAT 只能用在nat表的POSTROUTING链里
only valid in the nat table, in the POSTROUTING chain.
ipaddr:
range of IP addresses
or you can add several --to-source options. a simple round-robin takes place between these adresses.
port range(only valid if the rule also specifies -p tcp or -p udp)
If no port range is specified, then source ports below 512 will be
mapped to other ports below 512
-j MASQUERADE
用于外网口public地址是DHCP动态获取的(如ADSL)
iptables -t nat -A POSTROUTING –o eth1 –s 192.168.1.0/24 –j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
MASQUERADE --to-ports port[-port]
only valid if the rule also specifies -p tcp or -p udp.
固定public 地址(外网接口地址)的最基本内访外SNAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 你的eth0地址
多个内网段SNAT,就是多条SNAT语句即可
iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
非外网口地址为NAT用,必须先要绑定到接口上,如eth0 :1,eth0 :2
================================外网访问内网 –J DNAT===========================
DNAT
only valid in PREROUTING
--to-destination ipaddr[-ipaddr][:port-port]
DNAT:目的网络地址转换,重写包的目的IP地址
外部接口ip:210.83.2.206
内部接口ip:192.168.1.1
web服务器 : ip 192.168.1.4
iptables -t nat -A PREROUTING -d 210.83.2.206 -p tcp --dport 21 -j DNAT --to 192.168.1.3
iptables -t nat -A PREROUTING -d 210.83.2.206 -p tcp --dport 80 -j DNAT --to 192.168.1.4
IPTABLES没有CISCO那种static map
DNAT用于内部SERVER的load-balance(即CISCO的rotery)
iptables –t nat –A PREROUTING –d 219.142.217.161 –j DNAT --to-destination 192.168.1.24-192.168.1.25
DNAT 带端口映射(改变SERVER的端口)
一个FTP SERVER从内部192.168.100.125:21映射到216.94.87.37:2121的例子
iptables -t nat -A PREROUTING -p tcp -d 216.94.87.37 --dport 2121 -j DNAT --to-destination 192.168.100.125:21
通常外网DNAT访问内网SERVER,内网SERV ER回包的源地址是经过另一个单独的SNAT进程的。而不属于DNAT STATIC进程的一部分。
这样对于P-t-P的网络应用,就必须另设一个和DNAT相适应的SNAT。
对于穿过NAT,被NAT映射改变端口号的应用,也必须用一个单独的SNAT对回包的端口进行映射
iptables -t nat -A POSTROUTING -p tcp -s 192.168.100.125 --sport 21 -j SNAT --to-source 216.94.87.37:2121
不这样做的话,FTP SERVER会返回21到外网的客户机,外网用户发出一个to 2121的FTP request,收到一个from 21的,会不认
上面的好象不必,做过实验了:
/sbin/iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -o $WAN_INT -j SNAT