• 保存到桌面加入收藏设为首页
IDC百科

基于netfilteriptables的NAT如何工作

时间:2016-11-22 09:09:15   作者:gzidc   来源:IDCSPED   阅读:7057   评论:0
内容摘要:Linux下的NAT 是基于netfilter/iptables的。netfilter/iptables 内核空间默认的表和链说明:filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。(1)用户使用iptables命令在用户空...

Linux下的NAT 是基于netfilter/iptables的。netfilter/iptables 内核空间默认的表和链说明:filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。

(1)用户使鴌ptables命令在用户空间设置NAT规则,通过使用用户空间iptables命令,可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型,将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中o直接从本地出站的信息包的规则被添加到OUTPUT 链中。

(2)内核空间接管NAT工作

做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自o地被做相同的操作。也就是说,余下的包不会再通过这个表,一个一个的被NAT,而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址,如果需要的话。OUTPUT链改变本地产生的包的目的地址。图4 o数据包穿越整个netfilter/iptables的流程图。

(3)NAT工作步骤

DNAT:若包是被送往PREROUTING链的,并且匹配了规则, 则执行DNAT或REDIRECT目标。为了使数据包得到正确路由, 必须在路由之前进行DNAT。

路由:内核检查信息包的头信息,尤其是信息包的目的地。

处理本地进程产生的包:对nat表OUTPUT链中的规则实施规则检查, 对匹配的包执行目标动作。

SNAT:若包是被送往POSTROUTING链的,并且匹配了规则, 则执行SNAT或MASQUERADE目标。 系统在决定了数据包的路由之后才执行该链中的规则。

本文由专业服务器托管——IDCSPED(http://www.idcsped.com)提供。


IDCsped 提供最新的IT互联网资讯,本着分享传播的宗旨,我们希望能帮助更多人了解需要的信息!

部分文章转载自互联网、部分是IDCsped原创文章,如果转载,请注明出处:www.idcsped.com !
微信号:13430280788  欢迎加微信交流!

标签:服务器托管  防火墙  filter  流程图  数据包  
相关评论

销售电话:13430280788

Copyright © 2012-2017 | www.idcsped.com 版权所有

  粤公网安备 44010502001126号  粤ICP备12006439号-1