iptables的四表五链:
四表:Filter表、Nat表、Managle表、row表
五链:
- INPUT链 :处理输入数据包
- OUTPUT链 :处理输出数据包
- FORWARD链 :处理转发数据包
- PREROUTING链 :用于目标地址转换(DNAT)
- POSTOUTING链 :用于源地址转换(SNAT)
例子:
1、如下命令表示把所有10.8.0.0网段的数据包snat成192.168.5.3的ip然后发出去:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j snat --to-source 192.168.5.3
2、如下命令表示把所有10.8.0.0网段的数据包snat成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j snat --to-source 192.168.5.3-192.168.5.5
但是,假如当前系统用的是ADSL/3G/4G动态拨号方式,那么每次拨号,出口IP都会改变,那么每次拨号,出口ip192.168.5.3都会改变,而且改变的幅度很大,不一定是192.168.5.3到192.168.5.5范围内的地址,SNAT就会有局限性。
这个时候如果按照现在的方式来配置iptables就会出现问题了,因为每次拨号后,服务器地址都会变化,而iptables规则内的ip是不会随着自动变化的,每次地址变化后都必须手工修改一次iptables,把规则里边的固定ip改成新的ip,这样是非常不好用的
MASQUERADE就是针对这种场景而设计的,它的作用是,从服务器的网卡上,自动获取当前ip地址来做NAT
比如下边的命令:
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE
如此配置的话,不用指定snat的目标ip了,不管现在eth0的出口获得了怎样的动态ip,MASQUERADE会自动读取eth0现在的ip地址然后做snat出去
这样就实现了很好的动态snat地址转换
参考:https://blog.csdn.net/qq_44910432/article/details/89300784?spm=1001.2014.3001.5506
https://blog.csdn.net/hzhsan/article/details/45038265?spm=1001.2014.3001.5506