Linux 2.4 NAT HOWTO 简体中文版

3、 NAT的两种类型 我把NAT分为两种不同的类型：源NAT(SNAT)和目标NAT(DNAT)。（译者注：以下不再翻译SNAT和DNAT，直接用Source NAT和Destination NAT） Source NAT是指修改第一个包的源地址：也就是说，改变连接的来源地。Source NAT会在包送出之前的最后一刻做好post-routing（动作），伪装是SNAT的一种特别形式。 Destination NAT 是指修改第一个包的目标地址：也就是说，改变连接的目的地。Destination NAT 总是在包进入以后（马上）进行before routing（动作）。端口转发、负载均衡和透明代理都属于DNAT。

---

4、 从2.0和2.2内核的快速转换 假如您还在为从2.0（ipfwadm）到2.2（ipchains）的转换手忙脚乱的话，很抱歉。但是这也算是个喜忧半参的消息。 首先，您能够轻松的使用ipchains和ipfwadm，就像从前相同。但是您需要安装最新发布的netfilter中的“ipchains.o”或“ipfwadm.o”内核模块。他们是互斥的（您会被警告），而且不能和任何其他netfilter模块结合。 一旦这其中某个模块被载入，您能够像以前相同使用ipchains和ipfwadm，但是仍有以下区别： 用ipchains -M -S，或用ipfwadm -M -s配置伪装超时不再有效。因为超时已转移到新的NAT构架中，所以这不能做任何事。 在周详的伪装列表中，init_seq、delta和previous_delat字段始终为零。 归零和列表计数器的 -Z -L不再有效：计数器不能被归零。 这类向后兼容的部分可能和大部分连接都不能有效配合：不要在您的公司网关中使用 研发者们还要注意： 无论是否使用伪装，现在能够绑定61000 - 65095之间的端口。以前的伪装代码占用了这部分端口，因此不能使用。 尚未成文的“getsockname”，透明代理程式能够用来发现那些已不再工作的连接的真实目的地址。 尚未成文的“bind-to-foreign-address”同样还未启用：这个用于完整透明代理的设想。

---

4、1 我只想伪装！救命！ 这是绝大部分人想要的。假如您用PPP拨号上网来动态得到IP （假如您不知道，那应该就是的）您可能只想告诉您的机器，任何来自内部网络的包，要看上去同PPP连接服务器上的包相同。 # 装载NAT模块（这取代了其他的） modprobe iptable_nat # 在NAT表中(-t nat)，路由后 POSTROUTING 加入一条规则(-A) # 任何由ppp0送出的包(-o ppp0) 会被伪装( -j MASQUERADE)。 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # 开启IP转发 echo 1 > /proc/sys/net/ipv4/ip_forward 注意这时您没有做任何的包过滤：假如需要，参见 the Packet Filtering HOWTO。

---

4、2 那么ipmasqadm呢？ 这个完全取决于用户，所以我不担心向后兼容的问题。您能够简单的使用“iptables -t nat”做端口转发。例如，在Linux2.2您要做： # 在2.2内核，把指向1.2.3.4 8080端口的TCP包转到192.168.1.1的80端口 ipmasqadm portfw -a -P tcp -L 1.2.3.4 8080 -R 192.168.1.1 80 现在您能够这样： # 2.4内核，在NAT（-t nat）表中加入一条规则，在路由之前（-A PREROUTING）指向 # 1.2.3.4（-d 1.2.3.4）8080端口（--dport 8080）的TCP包（-p tcp）目标地址（-j DNAT） # 被重定向到 192.168.1.1的80端口（--to 192.168.1.1:80）。 iptables -A PREROUTING -t nat -p tcp -d 1.2.3.4 --dport 8080 -j DNAT --to 192.168.1.1:80

---

5、NAT能够控制什么 您需要创建NAT规则，以告诉内核哪些连接将被改变和如何改变。要做到这一点，我们要用到一个用处很多的iptables工具，并告诉他用指定的“-t nat”选项修改NAT表。 NAT规则表包含三个称为“链”的列表：每个规则都按顺序检查包，直到有一个匹配。其中两个被称为PREROUTING（用于Destination NAT，当包进入时检查），POSTROUTING（用于Source NAT，包离开时检查），第三个叫OUTPUT，这里能够忽略。 假如我有足够的艺术天分的话，下面的见图会准确的说明上述概念：

          _____                                     _____

            /     \                                   /               PREROUTING [Routing ]---------------POSTROUTING---

            \D-NAT/     [Decision]                    \S-NAT/

                            |                            ^

                            |                            |

                            |                            |

                            |                            |

                            |                            |

                            |                            |

                            |                            |

                            ------ Local Process ------

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!