與NAT相關(guān)的iptables命令格式

1.命令格式：

iptables [-t nat] CMD [chain] [rule-matcher] [-j target]
-t nat：表示操作nat表
CMD：為操作命令
chain：為鏈名
rule-matcher：為規(guī)則匹配器
target：為目標動作
說明：iptables的語法非常復雜，要查看該工具的完整語法，應該查看其手冊頁。iptables 中的指令，均需嚴格區(qū)分大小寫。

2.指定操作命令：

-A：在所選鏈的鏈尾加入一條規(guī)則；
-D：從所選鏈中刪除一條匹配的規(guī)則；
-R：在所選鏈中替換一條匹配的規(guī)則；
-I：在鏈內(nèi)某個位置插入一條新規(guī)則；
-L：列出指定鏈的所有規(guī)則。

3.規(guī)則匹配器

指定規(guī)則匹配器
匹配源地址
使用--source或--src或-s參數(shù)
匹配目的地址
使用--destination或--dst或-s參數(shù)
匹配網(wǎng)絡(luò)接口
對于PREROUTING鏈，只能用-i參數(shù)匹配進來的網(wǎng)絡(luò)接口
對于POSTROUTING鏈和OUTPUT鏈，只能用-o參數(shù)匹配出去的網(wǎng)絡(luò)接口
匹配協(xié)議及端口
使用-p選項來匹配協(xié)議
對于udp和tcp協(xié)議，還可以用--sport和--dport選項來分別匹配源端口和目的端口。

4.動作目標

指定與NAT有關(guān)的目標動作：
用于設(shè)置IP偽裝：
-j MASQUERADE
用于設(shè)置端口轉(zhuǎn)發(fā)：
-j REDIRECT --to-port port-number

Linux網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）也可以使用 iptables 進行配置。從根本上來說，NAT 是一種使用連接將來自本地子網(wǎng)地址的封裝報文在發(fā)送（在 OUTPUT 鏈上）之前作為外部 WAN 地址進行跟蹤的方法。執(zhí)行 NAT 的網(wǎng)關(guān)/路由器需要記住哪臺本地機器連接到了哪臺遠程機器上，當報文從遠程機器上返回時，它需要對這種地址轉(zhuǎn)換反向進行解析。

盡管從過濾器的角度來看，我們可以簡單地認為 NAT 并不存在。我們指定的規(guī)則應該使用 “真正的” 本地地址，而不必關(guān)心 NAT 如何封裝它之后將其呈現(xiàn)給外部世界。

騰佑科技IDC服務有雙線服務器租用、網(wǎng)通服務器租用、電信服務器租用。