在上一日志文档中,我们知道了一些iptable的nat表中几个链的区别,本节单独讲其中两个链拿出来详细说明。上一节中说PREROUTING和POSTROUTING说的很拗口,本节会更简单的说明。
PREROUTING: 位于 nat 表,用于修改目的地址(DNAT)(上一节说的是数据包作路由选择前应用此链中的规则 记住!所有的数据包进来的时侯都先由这个链处理)
POSTROUTING:位于 nat 表,用于修改源地址 (SNAT)(上一节说的是对数据包作路由选择后应用此链中的规则,所有的数据包出来的时侯都先由这个链处理)
1、 -j SNAT 简单的说,开放内网机器外网权限
注意:【系统在路由及过虑等处理直到数据包要被送出时才进行SNAT】
(有一种SNAT的特殊情况是ip欺骗,也就是所谓的Masquerading,通常建议在使用拨号上网的时候使用,或者说在合法ip地址不固定的情况下使用)
-j SNAT --to IP[-IP][:端口-端口](nat 表的 POSTROUTING链)
源地址转换,SNAT 支持转换为单 IP,也支持转换到 IP 地址池
(一组连续的 IP 地址)
例如:
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1
将内网 192.168.0.0/24 的原地址修改为 1.1.1.1,用于 NAT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \
-j SNAT --to 1.1.1.1-1.1.1.10
同上,只不过修改成一个地址池里的 IP
2、 -j DNAT 简单的来说是发布内部服务器,让外面的internet用户能访问到服务器,如网站等。
注意:【系统在路由及过虑等处理直到数据包要被送出时才进行SNAT】
(有一种DNAT的特殊情况是重定向,也就是所谓的Redirection,这时候就相当于将符合条件的数据包的目的ip地址改为数据包进入系统时的网络接口的ip地址)
-j DNAT --to IP[-IP][:端口-端口](nat 表的 PREROUTING 链)
目的地址转换,DNAT 支持转换为单 IP,也支持转换到 IP 地址池
(一组连续的 IP 地址)
例如:
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to 192.168.0.1
把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \
-j DNAT --to 192.168.0.2:80
iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \
-j DNAT --to192.168.0.1-192.168.0.10
公网访问 时:(假设公网上用户的IP为199.199.199.199,端口12345为随机的产生的。)
数据源 : ip:199.199.199.199 sport:12345
数据目标: ip:218.100.100.111 dport 80
此时,通过-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80 告诉199.199.199.199,您要访问的真正地址应该是192.168.5.179:80
3、 -j MASQUERADE 这个等同于snat的ip地址为外网(wan)接口ip的情况,wan端口ip重用。
-j MASQUERADE
动态源地址转换(动态 IP 的情况下使用)
阅读(6524) | 评论(0) | 转发(0) |
iptables.doc 