1  概述

地址转换(NAT)就是：路由器将私有地址转换为公有地址使数据包能够发到因特网上，同时从因特网上接收数据包时，将公用地址转换为私有地址。 在计算机网络中，网络地址转换（Network Address Translation或简称NAT，也叫做网络掩蔽或者IP掩蔽）是一种在IP数据包通过路由器或防火墙时重写源IP地址或/和目的IP地址的技术。

地址转换NAT（Network Address Translation）又称地址代理，它实现了私有网络访问外部网络的功能。这种技术被普遍使用在有多台主机但只通过一个公有IP地址访问因特网的私有网络中。根据规范，路由器是不能这样工作的，但它的确是一个方便并得到了广泛应用的技术。当然，NAT也让主机之间的通信变得复杂，导致通信效率的降低。

本文将结合例子讲解NAT技术的实现和相关原理

2  环境准备

准备三台机器

A:  192.168.32.61当内网主机，路由指向172.18.50.65

B:  172.18.50.65  192.168.32.65当路由器，开启路由转发功能：echo 1 >/proc/sys/net/ipv4/ip_forward

C:172.18.50.73当外网主机，指向网关172.18.50.65

3  NAT原理介绍和示例

路由器中，实现NAT转换是由表nat实现的

nat表默认centos7有四条链：PREROUTING，INPUT，OUTPUT，POSTROUTING

nat表默认centos6有三条链：PREROUTING，OUTPUT，POSTROUTING

请求报文：修改源/目标IP，由策略定义如何修改

响应报文：修改源/目标IP，根据跟踪机制自动实现

在NAT技术中，主要有分为三个，SNAT,DNAT,PNAT，相关介绍和示例如下

3.1  SNAT：source NAT

SNAT，改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则（mangleostrouting）。

一般仅转换ip，一般情况下不转换端口，但是如果端口刚好已经被使用了，路由器也会一起转换端口，此时路由器上没有记录连接，但是在客户端和服务器上可以看到对应的连接。

让本地网络中的主机通过某一特定地址访问外部网络，实现地址伪装

策略一般作用于POSTROUTING, INPUT链

.SNAT：固定IP

--to-source[ipaddr[-ipaddr]][:port[-port]]

--random：如果使用选项--random，则端口映射将被随机化

语法

iptables  -t nat -A POSTROUTING -s LocalNET ! -dLocalNet -j SNAT --to-source ExtIP

#ExtIP公网地址

.示例：

#路由器上配置，表示所有内网的地址192.168.32.0/24都通过SNAT转换为地址172.18.50.65

iptables -t nat -APOSTROUTING -s 192.168.32.0/24 -j SNAT --to-source 172.18.50.65

3.2  MASQUERADE：

改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则（mangleostrouting）。这个功能与 SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。

如果通过ADSL拨号的话，ip是不固定的。所以这个时候需要用网卡名来替换

--to-ports port[-port]

--random：如果使用选项--random，则端口映射将被随机化

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

.示例：

#以下语句在路由器上配置，表示将内网的192.168.32.0/24网段的ip进行NAT转换，动作是MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.32.0/24 -j MASQUERADE

3.3DNAT：destination NAT

改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则（filter:input 或 filter:forward）。

把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，但隐藏真实IP。当外部主机访问服务器时，有路由器通过DNAT做地址转换，从而访问到本地的服务器

策略一般作用于PREROUTING, OUTPUT链，这里服务器上看到的访问的ip不是路由器的公网ip，而是源客户端的ip

语法

iptables -t nat -A PREROUTING -d ExtIP -p tcp|udp  --dport  PORT -j DNAT  --to-destination  InterSeverIP[:PORT]

.示例：

在路由器上配置

#以下语句表示当访问172.18.50.65的80端口时，将转到内部服务器：192.168.32.61进行响应。如果http服务器发布的端口是默认的80，那么转发的目的地址不需要跟端口号

iptables -t nat -A PREROUTING -d172.18.50.65 -p tcp --dport 80 -j DNAT --to-destination 192.168.32.61

#以下语句表示当访问172.18.50.65的80端口时，将转到内部服务器：192.168.32.61进行响应。如果http服务器发布的端口是非标准端口，那么转发的目的地址需要跟端口号，如8080

iptables -t nat -APREROUTING   -d 172.18.50.65 -p tcp --dport 80 -j DNAT--to-destination 192.168.32.61:8080

测试，直接访问路由器的公网ip

curl  http://172.18.50.65

3.3  PNAT: port NAT

实现端口转换，端口和IP都进行修改

PANT是通过动作转发REDIRECT实现，将封包重新导向到另一个端口，这个功能可以用来实作通透式porxy 或用来保护 web 服务器。

这个也是作用在nat表中。

可用于：PREROUTING，OUTPUT或自定义链

通过改变目标IP和端口，将接受的包转发至不同地址

示例：

#以下配置在提供httpd服务的机器上配置，表示当有人访问80端口时，就把请求转到81端口

iptables -t nat  -A PREROUTING -d 192.168.32.61  -p tcp --dport 80  -j REDIRECT --to-ports 81

​