Q:局域网内的主机的数据包如何通过linux主机传送出去呢?
1)先经过NAT table的PREROUTING链
2)经路由判断确定这个数据包是否要进入本机,若不进入本机,则下一步
3)再经过Filter table的FORWARD链
4)通过NAT table的POSTROUTING链,最后传送出去
POSTROUTING修改的是原IP ------> SNAT(主要应付内部LAN连接到Internet)
PREROUTING修改的是目标IP ------> DNAT(主要用在内部主机架设可以让Internet访问的服务器)
SNAT语法:
iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE
注:$innet 是LAN 网络
$EXTIF 是对外接口
MASQUERADE :将lan IP 伪装成对外接口设备上的IP
iptables -t nat POSTROUTING -o eth0 -j SNAT --to-source x.x.x.x/x.x.x.x-x.x.x.x
(不采用IP伪装)
DNAT语法:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80
-j DNAT --to-destination IP[:port]
-j REDIRECT --to-ports <port number>
例子:将要求与80连接的数据包转递到8080这个port
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
