一、概述

　　1. 什么是NAT

　　在傳統(tǒng)的標(biāo)準(zhǔn)的TCP/IP通信過(guò)程中，所有的路由器僅僅是充當(dāng)一個(gè)中間人的角色，也就是通常所說(shuō)的存儲(chǔ)轉(zhuǎn)發(fā)，路由器并不會(huì)對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行修改，更為確切的說(shuō)，除了將源MAC地址換成自己的MAC地址以外，路由器不會(huì)對(duì)轉(zhuǎn)發(fā)的數(shù)據(jù)包做任何修改。NAT(Network Address Translation網(wǎng)絡(luò)地址翻譯)恰恰是出于某種特殊需要而對(duì)數(shù)據(jù)包的源ip地址、目的ip地址、源端口、目的端口進(jìn)行改寫(xiě)的操作。

　　2. 為什么要進(jìn)行NAT

　　我們來(lái)看看再什么情況下我們需要做NAT。

　　假設(shè)有一家ISP提供園區(qū)Internet接入服務(wù)，為了方便管理，該ISP分配給園區(qū)用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW服務(wù)器對(duì)外發(fā)布信息，這時(shí)候我們就可以通過(guò)NAT來(lái)提供這種服務(wù)了。我們可以在防火墻的外部網(wǎng)卡上綁定多個(gè)合法IP地址，然后通過(guò)NAT技術(shù)使發(fā)給其中某一個(gè)IP地址的包轉(zhuǎn)發(fā)至內(nèi)部某一用戶的WWW服務(wù)器上，然后再將該內(nèi)部WWW服務(wù)器響應(yīng)包偽裝成該合法IP發(fā)出的包。

　　再比如使用撥號(hào)上網(wǎng)的網(wǎng)吧，因?yàn)橹挥幸粋€(gè)合法的IP地址，必須采用某種手段讓其他機(jī)器也可以上網(wǎng)，通常是采用代理服務(wù)器的方式，但是代理服務(wù)器，尤其是應(yīng)用層代理服務(wù)器，只能支持有限的協(xié)議，如果過(guò)了一段時(shí)間后又有新的服務(wù)出來(lái)，則只能等待代理服務(wù)器支持該新應(yīng)用的升級(jí)版本。如果采用NAT來(lái)解決這個(gè)問(wèn)題，

　　因?yàn)槭窃趹?yīng)用層以下進(jìn)行處理，NAT不但可以獲得很高的訪問(wèn)速度，而且可以無(wú)縫的支持任何新的服務(wù)或應(yīng)用。

　　還有一個(gè)方面的應(yīng)用就是重定向，也就是當(dāng)接收到一個(gè)包后，不是轉(zhuǎn)發(fā)這個(gè)包，而是將其重定向到系統(tǒng)上的某一個(gè)應(yīng)用程序。最常見(jiàn)的應(yīng)用就是和squid配合使用成為透明代理，在對(duì)http流量進(jìn)行緩存的同時(shí)，可以提供對(duì)Internet的無(wú)縫訪問(wèn)。

　　3. NAT的類(lèi)型

　　在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類(lèi)型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的源地址，所謂DNAT就是改變轉(zhuǎn)發(fā)數(shù)據(jù)包的目的地址。 

　　二、原理

　　在“用iptales實(shí)現(xiàn)包過(guò)慮型防火墻”一文中我們說(shuō)過(guò)，netfilter是Linux 核心中一個(gè)通用架構(gòu)，它提供了一系列的"表"(tables)，每個(gè)表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數(shù)條規(guī)則(rule)組成。并且系統(tǒng)缺省的表是"filter"。但是在使用NAT的時(shí)候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項(xiàng)來(lái)顯式地指明這一點(diǎn)。因?yàn)橄到y(tǒng)缺省的表是"filter"，所以在使用filter功能時(shí)，我們沒(méi)有必要顯式的指明"-t filter"。

　　同filter表一樣，nat表也有三條缺省的"鏈"(chains)，這三條鏈也是規(guī)則的容器，它們分別是:

　　PREROUTING:可以在這里定義進(jìn)行目的NAT的規(guī)則，因?yàn)槁酚善鬟M(jìn)行路由時(shí)只檢查數(shù)據(jù)包的目的ip地址，所以為了使數(shù)據(jù)包得以正確路由，我們必須在路由之前就進(jìn)行目的NAT;

　　POSTROUTING:可以在這里定義進(jìn)行源NAT的規(guī)則，系統(tǒng)在決定了數(shù)據(jù)包的路由以后在執(zhí)行該鏈中的規(guī)則。

　　如前所述，在使用iptables的NAT功能時(shí)，我們必須在每一條規(guī)則中使用"-t nat"顯示的指明使用nat表。然后使用以下的選項(xiàng):

　　1. 對(duì)規(guī)則的操作

　　加入(append) 一個(gè)新規(guī)則到一個(gè)鏈 (-A)的最后。

　　在鏈內(nèi)某個(gè)位置插入(insert) 一個(gè)新規(guī)則(-I)，通常是插在最前面。

　　在鏈內(nèi)某個(gè)位置替換(replace) 一條規(guī)則 (-R)。

　　在鏈內(nèi)某個(gè)位置刪除(delete) 一條規(guī)則 (-D)。

　　刪除(delete) 鏈內(nèi)第一條規(guī)則 (-D)。

　　2. 指定源地址和目的地址

　　通過(guò)--source/--src/-s來(lái)指定源地址(這里的/表示或者的意思，下同)，通過(guò)--destination/--dst/-s來(lái)指定目的地址?？梢允褂靡韵滤闹蟹椒▉?lái)指定ip地址:

　　a. 使用完整的域名，如“www.linuxaid.com.cn”;

　　b. 使用ip地址，如“192.168.1.1”;

　　c. 用x.x.x.x/x.x.x.x指定一個(gè)網(wǎng)絡(luò)地址，如“192.168.1.0/255.255.255.0”;

　　d. 用x.x.x.x/x指定一個(gè)網(wǎng)絡(luò)地址，如“192.168.1.0/24”這里的24表明了子網(wǎng)掩碼的有效位數(shù)，這是 UNIX環(huán)境中通常使用的表示方法。

　　缺省的子網(wǎng)掩碼數(shù)是32，也就是說(shuō)指定192.168.1.1等效于192.168.1.1/32。

　　3. 指定網(wǎng)絡(luò)接口

　　可以使用--in-interface/-i或--out-interface/-o來(lái)指定網(wǎng)絡(luò)接口。從NAT的原理可以看出，對(duì)于PREROUTING鏈，我們只能用-i指定進(jìn)來(lái)的網(wǎng)絡(luò)接口;而對(duì)于POSTROUTING和OUTPUT我們只能用-o指定出去的網(wǎng)絡(luò)接口。

　　4. 指定協(xié)議及端口

　　可以通過(guò)--protocol/-p選項(xiàng)來(lái)指定協(xié)議，如果是udp和tcp協(xié)議，還可--source-port/--sport和 --destination-port/--dport來(lái)指明端口。

　　四、準(zhǔn)備工作

　　1. 編譯內(nèi)核，編譯時(shí)選中以下選項(xiàng)，具體可參看“用iptales實(shí)現(xiàn)包過(guò)慮型防火墻”一文:

　　 Full NAT

　　 MASQUERADE target support

　　 REDIRECT target support

　　2. 要使用NAT表時(shí)，必須首先載入相關(guān)模塊:

　　modprobe ip_tables

　　modprobe ip_nat_ftp