在传统TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发。即路由器不会对转发的数据包进行修改。准确地讲,除了将源MAC地址
换成自己的MAC地址以外,路由器不会对转发的数据包做任何修改。而NAT恰恰是出于某
种特殊需要而对数据包的源IP地址、目的IP地址、源端口、目的端口进行改写的操作。
什么情况下需要NAT(Network Address Translation,网络地址转换)呢?假设想
在公司内网搭建一个W W W 服务器以对外发布信息。由于公司内网使用的都是内部IP,故无
法向外网发布该服务。这时就可通过NAT来解决这个问题。比如网管可在防火墙的外部网
卡上绑定多个合法IP地址,然后通过NAT技术使发给其中某一个IP地址的包转发至这个内
部的W W W 服务器上,然后再将该内部W W W 服务器的响应包伪装成该合法IP发出的包。
NAT分为两种,分别是源NAT(SNAT)和目的NAT(DNAT),顾名思义,SNAT
就是改变转发数据包的源地址,DNAT就是改变转发数据包的目的地址。Linux系统上的
NAT操作是通过iptables的nat表来完成,该表有三条默认Chain,它们分别如下。
·PREROUTING:可在此定义目的NAT的规则,因为路由器进行路由时只检查数据包
的目的IP地址,所以为了使数据包得以正确路由,必须在路由之前就进行目的NAT。
·POSTROUTING:可以在这里定义进行源NAT的规则,系统在决定了数据包的路由
以后再执行该链中的规则。
·OUTPUT:定义对本地产生的数据包的目的NAT规则。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
