nat 地址协议转换

源地址转换 snat 上网用
内网 nat 公网

目的地址转换 dnat 发布内部服务器

tcpdump -i eth0 -nn port 80 抓包
DNAT 实验环境
Client ------------>         NAT              ----------->   Web
1.1.1.100    eth0 [1.1.1.6] eth1 [192.168.10.1]          192.168.10.2

DNAT 客户端访问 http://192.168.10.1
web服务器指定网关
ip route add default via 172.16.1.11
开启转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward
端口映射
iptables -t nat -A PREROUTING -d 192.168.10.1 -p tcp --dport 80 -j DNAT --to-destination 172.16.1.12:80

SNAT 实验环境
Client ------------>         NAT              ----------->   Web
1.1.1.100    eth0 [1.1.1.6] eth1 [192.168.10.1]          192.168.10.2

snat 客户端访问 http://172.16.1.12
客户端指定网关
ip route add default via 192.168.10.1
开启转发功能
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -p tcp --dport 80 -j SNAT --to-source 172.16.1.11

适用于DHCP 转换
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

mangle表
iptables -t mangle -A PREROUTING -m ttl --ttl-eq 64 -j MARK --set-mark 10
iptables -t mangle -A PREROUTING -m ttl --ttl-eq 128 -j MARK --set-mark 20
iptables -t filter -A FORWARD -m mark --mark 10 -j ACCEPT
iptables -t filter -A FORWARD -m mark --mark 20 -j DROP