linuxnat轉發

① linux 內核怎麼實現tcp nat 轉換的

1.兩個網路介面、一個內，一個外2.NAT轉換（內）操作步驟：1.設置
Linux內核
支持ip數據包的轉發：echo
"1"
>
/proc/sys/net/
ipv4
/ip_forward2.載入實現NAT功能必要的內核模塊：modprobe
ip_tablesmodprobe
ip_nat_ftpmodprobe
ip_nat_ircmodprobe...

② linux系統nat轉換

POSTROUTING時，-o從理論上說，是有必要保留的，否則會有一些你不希望NAT但實際卻被NAT的數據包在網間傳遞。比如NAT主機有重定向路由，或者NAT主機多出口的時候。
不通應該是你撥號後，ppp埠不是ppp0而是ppp1、ppp2……依次往下排了，ppp0已經成為過去式了，^_^
用 -o ppp+，這樣你就不用關心ppp埠後的那個數字了。

另外，INPUT鏈與映射沒關系，INPUT 10006那條規則沒用。
OUTPUT，我知道RHEL/CENTOS/FEDORE默認的OUTPUT都是ACCEPT，如果你是這三種版本，那第二條也沒用。

埠映射只用到兩個表三個鏈，filter表的FORWARD，nat表的POSTROUTING和PREROUTING。

③ linux下iptables的nat關於SNAT和DNAT轉發實驗

一、概述 1. 什麼是NAT 在傳統的標準的TCP/IP通信過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更為確切的說，除了將源MAC學校換成自己的MAC學校以外，路由器不會對轉發的數據包做任何修改。NAT（Network Address Translation中國絡學校翻譯）恰恰是出於某種特殊需要而對數據包的源ip學校、目的ip學校、源埠、目的埠進行改寫的操作。 2. 為什麼要進行NAT 我們來看看再什麼情況下我們需要做NAT。 假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP學校都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部中國卡上綁定多個合法IP學校，然後通過NAT技術使發給其中某一個IP學校的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。 再比如使用撥號上中國的中國吧，因為只有一個合法的IP學校，必須採用某種手段讓其他機器也可以上中國，通常是採用 中國伺服器的方式，但是中國伺服器，尤其是應用層中國伺服器，只能支持有限的協議，如果過了一段時間後又有新的服務出來，則只能等待中國伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題， 因為是在應用層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支持任何新的服務或應用。 還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明中國，在對http流量進行緩存的同時，可以提供對Internet的無縫訪問。 3. NAT的類型 在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源學校，所謂DNAT就是改變轉發數據包的目的學校。 二、原理 在「用iptales實現包過慮型防火牆」一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。 同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是: PREROUTING:可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的ip學校，所以為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT; POSTROUTING:可以在這里定義進行源NAT的規則，系統在決定了數據包的路由以後在執行該鏈中的規則。 OUTPUT:定義對本地產生的數據包的目的NAT規則。 三、操作語法 如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項: 1. 對規則的操作 加入(append) 一個新規則到一個鏈 (-A)的最後。 在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。 在鏈內某個位置替換(replace) 一條規則 (-R)。 在鏈內某個位置刪除(delete) 一條規則 (-D)。 刪除(delete) 鏈內第一條規則 (-D)。 2. 指定源學校和目的學校 通過--source/--src/-s來指定源學校(這里的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的學校。可以使用以下四中方法來指定ip學校: a. 使用完整的域名，如「至美.linuxaid中國中國」; b. 使用ip學校，如「192.168.1.1」; c. 用x.x.x.x/x.x.x.x指定一個中國絡學校，如「192.168.1.0/255.255.255.0」; d. 用x.x.x.x/x指定一個中國絡學校，如「192.168.1.0/24」這里的24表明了子中國掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。 預設的子中國掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。 3. 指定中國絡介面 可以使用--in-interface/-i或--out-interface/-o來指定中國絡介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的中國絡介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的中國絡介面。 4. 指定協議及埠 可以通過--protocol/-p選項來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明埠。 四、准備工作 1. 編譯內核，編譯時選中以下選項，具體可參看「用iptales實現包過慮型防火牆」一文: Full NAT MASQUERADE target support REDIRECT target support 2. 要使用NAT表時，必須首先載入相關模塊: modprobe ip_tables modprobe ip_nat_ftp iptable_nat 模塊會在運行時自動載入。 五、使用實例 1. 源NAT(SNAT) 比如，更改所有來自192.168.1.0/24的數據包的源ip學校為1.2.3.4: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4 這里需要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。 有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥號上中國的時候使用，或者說在合法ip學校不固定的情況下使用。比如 # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 可以看出，這時候我們沒有必要顯式的指定源ip學校等信息。 2. 目的SNAT(DNAT) 比如，更改所有來自192.168.1.0/24的數據包的目的ip學校為1.2.3.4: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4 這里需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。 有一種DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當於將符合條件的數據包的目的ip學校改為數據包進入系統時的中國絡介面的ip學校。通常是在與squid配置形成透明中國時使用，假設squid的監聽埠是3128，我們可以通過以下語句來將來自192.168.1.0/24，目的埠為80的數據包重定向到squid監聽 埠: iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128 六、綜合例子 1. 使用撥號帶動局域中國上中國 小型企業、中國吧等多使用撥號中國絡上中國，通常可能使用中國，但是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域中國上中國。 成功升級內核後安裝iptables，然後執行以下腳本: #載入相關模塊 modprobe ip_tables modprobe ip_nat_ftp #進行ip偽裝 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 2. ip映射 假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP學校都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部中國卡上綁定多個合法IP學校，然後通過ip映射使發給其中某一個IP學校的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。 我們假設以下情景: 該ISP分配給A單位至美伺服器的ip為: 偽ip:192.168.1.100 真實ip:202.110.123.100 該ISP分配給B單位至美伺服器的ip為: 偽ip:192.168.1.200 真實ip:202.110.123.200 linux防火牆的ip學校分別為: 內中國介面eth1:192.168.1.1 外中國介面eth0:202.110.123.1 然後我們將分配給A、B單位的真實ip綁定到防火牆的外中國介面，以root許可權執行以下命令: ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0 ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0 成功升級內核後安裝iptables，然後執行以下腳本: #載入相關模塊 modprobe ip_tables modprobe ip_nat_ftp 首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT): iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100 iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200 其次，對防火牆接收到的源ip學校為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT): iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100 iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200 這樣，所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映

④ 如何用iptables實現Linux下強大的NAT功能

一、概述
1. 什麼是NAT
在傳統的標準的TCP/IP通信過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更為確切的說，除了將源MAC地址換成自己的MAC地址以外，路由器不會對轉發的數據包做任何修改。NAT(Network Address Translation網路地址翻譯)恰恰是出於某種特殊需要而對數據包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。
2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址，然後通過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網吧，因為只有一個合法的IP地址，必須採用某種手段讓其他機器也可以上網，通常是採用代理伺服器的方式，但是代理伺服器，尤其是應用層代理伺服器，只能支持有限的協議，如果過了一段時間後又有新的服務出來，則只能等待代理伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題，
因為是在應用層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支持任何新的服務或應用。
還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明代理，在對http流量進行緩存的同時，可以提供對Internet的無縫訪問。
3. NAT的類型
在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源地址，所謂DNAT就是改變轉發數據包的目的地址。
二、原理
在「用iptales實現包過慮型防火牆」一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。
同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是:
PREROUTING:可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的ip地址，所以為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這里定義進行源NAT的規則，系統在決定了數據包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的數據包的目的NAT規則。
三、操作語法
如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過--source/--src/-s來指定源地址(這里的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名，如「www.linuxaid.com.cn」;
b. 使用ip地址，如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址，如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址，如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過--protocol/-p選項來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明埠。
四、准備工作
1. 編譯內核，編譯時選中以下選項，具體可參看「用iptales實現包過慮型防火牆」一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時，必須首先載入相關模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會在運行時自動載入。
五、使用實例
1. 源NAT(SNAT)
比如，更改所有來自192.168.1.0/24的數據包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4
這里需要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。
有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥號上網的時候使用，或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出，這時候我們沒有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如，更改所有來自192.168.1.0/24的數據包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4
這里需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。
有一種DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當於將符合條件的數據包的目的ip地址改為數據包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用，假設squid的監聽埠是3128，我 們可以通過以下語句來將來自192.168.1.0/24，目的埠為80的數據包重定向到squid監聽
埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
-j REDIRECT --to-port 3128
六、綜合例子
1. 使用撥號帶動區域網上網
小型企業、網吧等多使用撥號網路上網，通常可能使用代理，但是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域網上網。
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部網卡上綁定多個合法IP地址，然後通過ip映射使發給其中某一 個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
我們假設以下情景:
該ISP分配給A單位www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100
該ISP分配給B單位www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200
linux防火牆的ip地址分別為:
內網介面eth1:192.168.1.1
外網介面eth0:202.110.123.1
然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面，以root許可權執行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200
其次，對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200
這樣，所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映射。

⑤ Linux NAT 實現公網轉公網

實現不了

那需要進行二次路由

也就是 你的兩個公網IP需要路由一次 然後內網和其中一個公網再進行路由

第二次的路由你可以自己做

但 第一次的路由 你自己就做不了了 那必須所有的路由器中都進行一次 我想你沒這個能力吧

一般這種情況想實現的話都是用代理方式

這種情況你需要兩台機器 來做

一台機器 通過路由 NAT到 另外一台的公網IP 然後在那台機器做代理 也就是下面的工作形式

內網IP--NAT公網IP--另外一台機器的公網IP--實現代理--訪問外網

⑥ 虛擬機下Linux如何用NAT模式聯網

在vmware軟體中編輯vmnet1虛擬路由器
Linux虛擬機通過NAT方式上外網
在vmware軟體中編輯vmnet1虛擬路由器--轉發配置
Linux虛擬機通過NAT方式上外網
在vmware軟體中編輯vmnet1虛擬路由器--轉發器NAT的IP需要與真機中vmnet1的IP一致
Linux虛擬機通過NAT方式上外網
設置這個Linux虛擬機的網卡--或者通過這里自動獲取IP，這里很重要。
Linux虛擬機通過NAT方式上外網
6
設置這個Linux虛擬機的網卡--進入網卡設置路徑
Linux虛擬機通過NAT方式上外網
7
設置這個Linux虛擬機的網卡--自動獲取IP，這一步非常重要。

⑦ 如何用Iptables實現Linux下強大的NAT功能

一、概述
1. 什麼是NAT
在傳統的標準的TCP/IP通信過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更為確切的說，除了將源MAC地址換成自己的MAC地址以外，路由器不會對轉發的數據包做任何修改。NAT（Network Address Translation網路地址翻譯）恰恰是出於某種特殊需要而對數據包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。
2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址，然後通過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網吧，因為只有一個合法的IP地址，必須採用某種手段讓其他機器也可以上網，通常是採用
代理伺服器的方式，但是代理伺服器，尤其是應用層代理伺服器，只能支持有限的協議，如果過了一段時間後又有新的服務出來，則只能等待代理伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題，

因為是在應用層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支持任何新的服務或應用。
還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明代理，在對http流量進行緩存的同時，可以提供對Internet的無縫訪問。
3. NAT的類型
在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源地址，所謂DNAT就是改變轉發數據包的目的地址。
二、原理
在「用iptales實現包過慮型防火牆」一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。
同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是:
PREROUTING:可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的ip地址，所以為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這里定義進行源NAT的規則，系統在決定了數據包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的數據包的目的NAT規則。
三、操作語法
如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過--source/--src/-s來指定源地址(這里的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名，如「www.linuxaid.com.cn」;
b. 使用ip地址，如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址，如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址，如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過--protocol/-p選項來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明埠。
四、准備工作
1. 編譯內核，編譯時選中以下選項，具體可參看「用iptales實現包過慮型防火牆」一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時，必須首先載入相關模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會在運行時自動載入。
五、使用實例
1. 源NAT(SNAT)
比如，更改所有來自192.168.1.0/24的數據包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4
這里需要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。
有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥號上網的時候使用，或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出，這時候我們沒有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如，更改所有來自192.168.1.0/24的數據包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4
這里需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。
有一種DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當於將符合條件的數據包的目的ip地址改為數據包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用，假設squid的監聽埠是3128，我們可以通過以下語句來將來自192.168.1.0/24，目的埠為80的數據包重定向到squid監聽
埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
-j REDIRECT --to-port 3128
六、綜合例子
1. 使用撥號帶動區域網上網
小型企業、網吧等多使用撥號網路上網，通常可能使用代理，但是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域網上網。
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部網卡上綁定多個合法IP地址，然後通過ip映射使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
我們假設以下情景:
該ISP分配給A單位www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100
該ISP分配給B單位www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200
linux防火牆的ip地址分別為:
內網介面eth1:192.168.1.1
外網介面eth0:202.110.123.1
然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面，以root許可權執行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200
其次，對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200
這樣，所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映射

⑧ Linux怎麼做NAT

看你用什麼樣的發行版了。

一般通用方式是修改iptables的規則，增加埠重定向的規則。

比如：

iptables -t nat -A PREROUTING -p tcp -m tcp --dport21521 -j DNAT --to-destination192.168.0.211:1521

iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -d 192.168.0.211 -p tcp -m tcp --dport 1521 -j SNAT --to-source 192.168.0.132

如果是radhat/centos，可以配置firewall，做埠映射。比如：

firewall-cmd --add-forward-port=proto=80:proto=tcp:toaddr=192.168.1.0.1 # 將80埠的流量轉發至192.168.0.1

⑨ linux iptables nat 轉發延時怎麼回事

應該是你本身設備的問題吧。