分类: LINUX
2011-01-25 09:35:39
使用3个链
NAT:PREROUTING POSTROUTING OUTPUT
只有流的第一个包会匹配此链
DNAT:重定向目的地址
SNAT:改变包的源地址
MASQUERADE:
此表仅用于NAT
只有流的第一个包会匹配
其后的包做相同处理
echo 1 > /proc/sys/net/ipv4/ip_forward
/etc/sysctl.conf中改0为1
sysctl -p
SNAT
案例 1 #改变源地址为一个地址池
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.0.1-192.168.0.10
案例 2 #伪装
iptables -A POSTROUTING -o ppp0 -j MASQUERADE
案例 3 #改变源地址及端口
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.0.1:1-1023
案例 4 #伪装
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to 外网口IP(固定IP使用)
DNAT
案例 1 #改变目标IP
iptables -t nat -A PREROUTING -i eth0 -j DNAT --TO IP
案例 2 #改变WEB目标为0.1的8080
iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.0.1:8080
案例 3 #穿透防火墙提供WEB
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to 192.168.0.10:80