Linux下的NAT 是基于netfilter/iptables的。netfilter/iptables 内核空间默认的表和链说明:filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。
(1)用户使鴌ptables命令在用户空间设置NAT规则,通过使用用户空间iptables命令,可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型,将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中o直接从本地出站的信息包的规则被添加到OUTPUT 链中。
(2)内核空间接管NAT工作
做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自o地被做相同的操作。也就是说,余下的包不会再通过这个表,一个一个的被NAT,而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址,如果需要的话。OUTPUT链改变本地产生的包的目的地址。图4 o数据包穿越整个netfilter/iptables的流程图。
(3)NAT工作步骤
DNAT:若包是被送往PREROUTING链的,并且匹配了规则, 则执行DNAT或REDIRECT目标。为了使数据包得到正确路由, 必须在路由之前进行DNAT。
路由:内核检查信息包的头信息,尤其是信息包的目的地。
处理本地进程产生的包:对nat表OUTPUT链中的规则实施规则检查, 对匹配的包执行目标动作。
SNAT:若包是被送往POSTROUTING链的,并且匹配了规则, 则执行SNAT或MASQUERADE目标。 系统在决定了数据包的路由之后才执行该链中的规则。
本文由专业服务器托管——IDCSPED(http://www.idcsped.com)提供。
IDCsped 提供最新的IT互联网资讯,本着分享、传播的宗旨,我们希望能帮助更多人了解需要的信息!
部分文章转载自互联网、部分是IDCsped原创文章,如果转载,请注明出处:www.idcsped.com !销售电话:13430280788
Copyright © 2012-2017 | www.idcsped.com 版权所有