|
|
1. POSTROUTING 举例
- iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to 118.88.19.110
-t nat : 选择表,表示使用 Netfilter 的 NAT 机制。
-A POSTROUTING : 选择功能,表示要执行的操作为 SNAT 机制。
-o eth0 : 选择数据包流向的网口,在执行 SNAT 或 DNAT 时该项必选,否则出错。
-s 192.168.0.0/24 : 指定来源网段。
-j SNAT --to 118.88.19.110 : 如果数据包符合上面给出的条件,那么将源 IP 改为 118.88.19.110,这个就是 NAT 主机对外的公网 IP 了。
经过上面的设置后,处于 192.168.0.0/24 网段中的计算机就可以上网了。可能会对此有疑问,只设置数据包的流出方向,而不设置数据包的进入方向?答案是,我们不必要担心这个问题,因为 Netfilter 的工程师也早已想到,为了我们的方便,就自动的将另一半给补上了,这对于我们来说是透明的。因此,不管使用的是 SNAT 还是 DNAT 规则,NAT 机制都会自动为我们考虑另一个方向的数据包。
2. PREROUTING 举例
- iptables -t nat -A PREROUTING -i eth0 -d 118.99.19.110 -j DNAT --to 192.168.1.100
如果说 POSTROUTING 是用于内网向外网 NAT 的转换访问,那么 PREROUTING 则用在外网向内网的 NAT 访问了。比如,我们在内网里假设了一台 WEB 服务器(IP 地址为 192.168.1.100),而在路由主机的公网 IP 是 118.99.19.110,这时候就要用到 PREROUTING 。
上面命令的语法和 SNAT 的相似。需要注意的是,POSTROUTING 时,网卡那里是 -o eth0,而 PREROUTING 时,用的是 -i eth0 。整条命令的意思是(以 WEB 服务器为例说明),外网向 118.99.19.110 这个 IP 发送 HTTP 请求时,都转到 192.168.1.00 这台内网计算机上。
|
|
窥视卡
雷达卡
发表于 2014-4-16 11:08:31
收藏
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡