MASQUERADE 目标

beyes

MASQUERADE 目标仅用在 nat 表的 POSTROUTING 链中。它一般只用在具有动态分配 IP 的连接场合，比如 ADSL 拨号连接。如果你用的是静态 IP 地址，那么应该使用 SNAT 目标。我们不必要为源地址明确指定某一个伪装 IP，它会自动使数据包出去的那个网络接口上的 IP 地址。如果连接中断了，比如 ADSL 拨号掉线，那么规则不会去记住之前的伪装 IP，这也意味着在下次成功拨号获取到新的 IP 时不会被上次的中断状态所带来的什么坏的影响或错误。

下面是一个应用举例：

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE

假设防火墙主机通过 eth0 接口拨号 ADSL 从而获得一个公网 IP，那么上面这条规则包含了几点内容：
1. 内网 192.168.1.0/24 与公网的数据交换都是从 eth0 这个接口出去的。
2. eth0 接口上附着着 ADSL 拨号所获得的公网 IP
3. 指定目标 MASQUERADE 意味着内网 IP 会自动伪装成该公网 IP 而出去，而不管这个公网 IP 如何变化。