iptables转发基础

2401_84412895

于 2024-05-04 01:49:11 发布

阅读量819

点赞数 22

分类专栏：程序员文章标签：服务器网络 linux

本文链接：https://blog.csdn.net/2401_84412895/article/details/138430156

版权

程序员专栏收录该内容

312 篇文章 0 订阅

订阅专栏

NAT（Network Address Translation）译为网络地址转换。通常路由器在转发我们的数据包时，仅仅会将源MAC地址换成自己的MAC地址，但是NAT技术可以修改数据包的源地址、目的地址以及源端口、目的端口等信息。

二. NAT的作用

NAT技术最常见的应用就是通过修改源IP地址实现内网多主机使用一个公网地址接入互联网。NAT技术通常用于端口和流量的转发、重定向，实现如端口映射、跨网络访问、流量代理等功能。

二. iptables实现NAT转发

1.语法及参数介绍

iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作

要使用iptables的NAT功能，我们首先需要启用网卡的IP转发功能

echo 1 > /proc/sys/net/ipv4/ip_forward

如果想要永久生效，我们要编辑/etc/sysctl.conf文件，设置net.ipv4.ip_forward = 1，然后用sysctl -p命令使配置文件生效。

我们使用**-t nat**参数指明使用nat表，因为iptables默认使用filter表。

nat表同filter表一样有三条缺省的”链”(chains)：

POSTROUTING：定义进行源地址转换规则，重写数据包的源IP地址

PREROUTING：定义进行目的地址转换的规则，可以把外部访问重定向到其他主机上

OUTPUT：定义对本地产生的数据包的目的转换规则。

我们要利用iptables进行NAT转换时，使用的动作主要为SNAT、DNAT和REDIRECT：

SNAT：源地址转换

DNAT：目的地址转换

REDIRECT：端口重定向

(1)规则操作

-A：在链的尾部添加一条规则

-D CHAIN [num]: 删除指定链中的第num条规则

-I CHAIN [num]：在指定链内第num条位置插入一条规则

-R CHAIN [num]: 替换链内指定位置的一条规则

(2)源/目的IP地址

-s：指定源地址

–dst：指定目的地址

(3)网络接口

-i：入站接口。对于PREROUTING链，只能用-i指定进来的网络接口

-o：出站接口。对于POSTROUTING和OUTPUT，只能用-o指定出去的网络接口

(4)动作

ACCEPT：放行

DROP：丢弃

REJECT：拒绝

MASQUERADE：地址伪装

LOG：日志

MARK：标记

三. 源/目的转发实例

1.源NAT（SNAT）

更改所有来自192.168.1.0/24的数据包的源IP地址为123.4.5.100

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 123.4.5.100

2.目的NAT（DNAT）

更改所有来自192.168.1.0/24的数据包的目的ip地址为123.4.5.100

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 123.4.5.100

3.IP映射实例

假设有这样的情况：A、B单位给自内网中部分用户要求建立自己的Web服务器对外发布信息。我们可以在防火墙的外部网卡上绑定多个合法公网IP地址，然后通过ip映射使发给其中某一个IP地址的包转发至内部某一用户的Web服务器上，并将该内部Web服务器的响应包伪装成该公网IP发出的包。

| 节点 | 内网IP | 公网IP |

| — | — | — |

| A单位Web服务器 | 192.168.1.100 | 123.4.5.100 |

| B单位Web服务器 | 192.168.1.200 | 123.4.5.200 |

| linux防火墙 | 192.168.1.1（eth1） | 123.4.5.1（eth0） |

在进行NAT之前，我们需要先将分配给A、B单位的公网ip绑定到防火墙的外网接口：

ifconfig eth0 add 123.4.5.100 netmask 255.255.255.0

ifconfig eth0 add 123.4.5.200 netmask 255.255.255.0

对防火墙接收到的目的ip为123.4.5.100和123.4.5.200的所有数据包进行目的NAT(DNAT):

文末

不管怎么样，不论是什么样的大小面试，要想不被面试官虐的不要不要的，只有刷爆面试题题做好全面的准备，当然除了这个还需要在平时把自己的基础打扎实，这样不论面试官怎么样一个知识点里往死里凿，你也能应付如流啊

小编将自己6年以来的面试经验和学习笔记都整理成了一个**937页的PDF，**以及我学习进阶过程中看过的一些优质视频教程。

其实看到身边很多朋友抱怨自己的工资很低，包括笔者也是一样的，其原因是在面试过程中没有给面试官一个很好的答案。所以笔者会持续更新面试过程中遇到的问题，也希望大家和笔者一起进步，一起学习。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门，即可获取！
[外链图片转存中…(img-eq306Rli-1714758534816)]

其实看到身边很多朋友抱怨自己的工资很低，包括笔者也是一样的，其原因是在面试过程中没有给面试官一个很好的答案。所以笔者会持续更新面试过程中遇到的问题，也希望大家和笔者一起进步，一起学习。
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门，即可获取！

2401_84412895

关注

22
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
iptables转发基础

iptables [-t TABLE] COMMAND CHAIN [num] 匹配条件 -j 处理动作要使用iptables的NAT功能，我们首先需要启用网卡的IP转发功能如果想要永久生效，我们要编辑文件，设置，然后用sysctl -p命令使配置文件生效。我们使用**-t nat**参数指明使用nat表，因为iptables默认使用filter表。nat表同filter表一样有三条缺省的”链”(chains)：POSTROUTING：定义进行源地址转换规则，重写数据包的源IP地址。
复制链接

扫一扫