与NAT相关的iptables命令格式

2012-07-18

1.命令格式:

iptables [-t nat] CMD [chain] [rule-matcher] [-j target]
-t nat:表示操作nat表
CMD:为操作命令
chain:为链名
rule-matcher:为规则匹配器
target:为目标动作
说明:iptables的语法非常复杂,要查看该工具的完整语法,应该查看其手册页。iptables 中的指令,均需严格区分大小写。

2.指定操作命令:

-A:在所选链的链尾加入一条规则;
-D:从所选链中删除一条匹配的规则;
-R:在所选链中替换一条匹配的规则;
-I:在链内某个位置插入一条新规则;
-L:列出指定链的所有规则。

3.规则匹配器

指定规则匹配器
匹配源地址
使用--source或--src或-s参数
匹配目的地址
使用--destination或--dst或-s参数
匹配网络接口
对于PREROUTING链,只能用-i参数匹配进来的网络接口
对于POSTROUTING链和OUTPUT链,只能用-o参数匹配出去的网络接口
匹配协议及端口
使用-p选项来匹配协议
对于udp和tcp协议,还可以用--sport和--dport选项来分别匹配源端口和目的端口。

4.动作目标

指定与NAT有关的目标动作:
用于设置IP伪装:
-j MASQUERADE
用于设置端口转发:
-j REDIRECT --to-port port-number

Linux网络地址转换(NAT)也可以使用 iptables 进行配置。从根本上来说,NAT 是一种使用连接将来自本地子网地址的封装报文在发送(在 OUTPUT 链上)之前作为外部 WAN 地址进行跟踪的方法。执行 NAT 的网关/路由器需要记住哪台本地机器连接到了哪台远程机器上,当报文从远程机器上返回时,它需要对这种地址转换反向进行解析。

尽管从过滤器的角度来看,我们可以简单地认为 NAT 并不存在。我们指定的规则应该使用 “真正的” 本地地址,而不必关心 NAT 如何封装它之后将其呈现给外部世界。

腾佑科技IDC服务有双线服务器租用、网通服务器租用、电信服务器租用

上一篇:基于netfilteriptables的NAT如何工作
下一篇:在WIN NT上设置FTP读写权限的方法