Linux 2.4 NAT HOWTO 简体中文版

6、2、1 重定向 Destination NAT的一个特例被称为重定向。他相当于对进入接口进行DNAT的简单方便的一种形式。 # 发送进入的80端口的Web传输到我们的Squid（透明）代理 # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 注意Squid需要被配置为透明代理。

---

6、3 深层次的映射 更有一些可能大部分人不会用到的NAT的细节。

---

6、3、1 一个范围内多地址的选择 假如指定了IP地址的范围，那么机器会选择当前使用最少的那个IP地址。这就实现了最俭朴的负载均衡。

---

6、3、2 建立空的NAT映射。 您能够使用 '-j ACCEPT' 目标让连接通过，无需NAT参和。

---

6、3、3 标准NAT行为 默认行为是根据用户给定的内在约束规则，对连接作最小的改变。也就是除非必要 不要进行端口重映射。

---

6、3、4 内部源端口映射 假如其他的连接覆盖了一个连接，即使这个连接无需使用NAT，源地址转换仍会发生。考虑IP伪装，这种情况就很普遍。 1、一个从192.168.1.1 1024端口到www.netscape.com 80端口的Web连接已建立 2、他被伪装成IP伪装服务器的IP地址（1.2.3.4） 3、IP伪装服务器试图建立一个从www.netscape.com 80端口到1.2.3.4 1024端口的Web连接（他自己的外部接口IP地址） 4、NAT代码会修改第二个连接的源地址到1025，这样两个（连接）就不会冲突了。 当这种内部源地址映射发生时，端口分为三级： 512以下的端口 512至1023之间的端口 1024以上的端口 内部端口映射决不会被映射到（除此之外的）其他种类。

---

6、3、5 假如NAT失败会怎样？ 假如无法按照用户请求的那样，为连接建一个单独的映射，（包）会被删除。这也适用于那些无法被归为任何连接的包，因为他们是畸形的，或是主机内存溢出了。

---

6、3、6 多重映射，重叠和冲突 您的NAT规则能够把包映射到相同的范围。NAT代码聪明到能够避免他们的冲突。因此，两条规则把192.168.1.1和192.168.1.2的源地址映射都映射到1.2.3.4是没有问题的。 而且，您能够映射到真实的、已在使用的IP地址，只要那些地址也通过这个服务器。所以假如您分配到一个网络（1.2.3.0/24），但有一个内部网络使用了这些地址，另一个使用的是私有地址192.168.1.0/24，您能够简单的NAT 192.168.1.0/24的源地址 到1.2.3.0网络，不必担心冲突。 # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 1.2.3.0/24 相同的逻辑也适用于NAT服务器本身的地址。这就是得以伪装工作的原因（由伪装后的包和来自本身的“真实”的包共享一个接口地址）。 甚至，您能够映射相同的包到许多不同的目标，他们会被共享。例如，假如您不希望映射任何东西到1.2.3.5，您能够这样做： # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 1.2.3.0-1.2.3.4 --to 1.2.3.6-1.2.3.254

---

6、3、7 修改本地生成的连接的目标地址 NAT代码允许您插入DNAT规则到OUTPUT链，但是这在2.4中尚未完全支持（能够使用，但必须用新的配置选项，某些测试中的代码。所以除非有人在疯狂的写这部分代码，我不相信他会很快实现）。 当前的限制是您只能修改目标地址到本机（例如'-j DNAT --to 127.0.0.1'）， 不能到任何其他机器，否则相应可能不能够被正确转换。

---

7、 特定的协议 有些协议不希望被NAT。这些协议，两种延伸必须指明：一个是协议的连接跟踪，一个是真实NAT。 在发布的netfilter中，有可用的FTP模块：ip_conntrack_ftp.o和ip_nat_ftp.o。假如您加载了任一种模块到您的内核（或编译进去），那么任何关于FTP连接的NAT都是可行的。假如没有，那么只能使用被动FTP（passive ftp），而且假如做了一些Source NAT，他（指FTP）也许不能可靠的工作。

---

8、 关于NAT的警告 假如您对连接做NAT，任何双向传送的包（进入和送出网络的）必须通过NAT服务器，否则NAT服务器的工作可能不可靠。特别是，连接跟踪代码重组了分片，也就意味着不光是连接跟踪不能可靠工作，甚至任何包都无法通过，因为分片被丢弃。

---

9、 Source NAT 和路由 假如您要做SNAT，您必须注意任何机器被SNAT的包的回应都将发送到NAT服务器。例如，假如您映射了一些送出的包的源地址为1.2.3.4，那么外部的路由器必须知道发送回应包的地址到NAT服务器。能够这样做： 1、假如您对本机地址做SNAT（路由等任何事情都正常），您无需做任何事。 2、假如您在本地LAN上做SNAT到未用地址（例如，您映射为1.2.3.99，您的1.2.3.0/24网络中未用的IP），您的NAT服务器需要像那个地址（99）相同正确响应ARP请求。最简单的办法是建立一个IP别名，例如： # ip address add 1.2.3.99 dev eth0 3、假如您对完全不同的地址做SNAT，您必须确保被SNAT的包到达的机器会返回NAT服务器。假如NAT服务器是他们的默认网关，那么就已行了，否则您需要发布一个路由（假如运行了路由协议）或对每个机器手工添加路由。

---

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!