Linux下的NAT 是基于netfilter/iptables的。netfilter/iptables 内核空间默认的表和链说明:filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。
(1)用户使用iptables命令在用户空间设置NAT规则,通过使用用户空间iptables命令,可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型,将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中。直接从本地出站的信息包的规则被添加到OUTPUT 链中。
(2)内核空间接管NAT工作
做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自动地被做相同的操作。也就是说,余下的包不会再通过这个表,一个一个的被NAT,而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址,如果需要的话。OUTPUT链改变本地产生的包的目的地址。图4 是数据包穿越整个netfilter/iptables的流程图。
(3)NAT工作步骤
DNAT:若包是被送往PREROUTING链的,并且匹配了规则, 则执行DNAT或REDIRECT目标。为了使数据包得到正确路由, 必须在路由之前进行DNAT。
路由:内核检查信息包的头信息,尤其是信息包的目的地。
处理本地进程产生的包:对nat表OUTPUT链中的规则实施规则检查, 对匹配的包执行目标动作。
SNAT:若包是被送往POSTROUTING链的,并且匹配了规则, 则执行SNAT或MASQUERADE目标。 系统在决定了数据包的路由之后才执行该链中的规则。
本文由专业服务器托管——TOP云(zuntop.com)科技(http://www.zuntop.com)提供。
免责声明:XYZ对在Cov19.xyz上提供信息的真实性或准确性不承担任何责任,Cov19.x...
01 NumPy http://numpy.org NumPy是Numerical Python的简写,是Python数值计算的...
SLS旧版本告警概述 日志服务支持为查询或分析结果设置告警。设置告警后 日志服务...
一、背景介绍 HBase与ElasticSearch是现代应用在处理海量数据的技术架构会经常被...
随着全球市场意识的增强,大多数组织考虑采用云计算解决方案降低成本,并缩短产...
前阵子开发了公司领劵中心的项目,这个项目是以 redis 作为关键技术落地的。 先...
安全组是一种虚拟防火墙,具备状态检测和包过滤功能。加入同一个普通安全组内的...
前言 近期排查客户上报的问题时 遇到了一个比较费解的问题 在这边梳理一下排查的...
租用服务器你需要考虑的安全问题 服务器租用 是企业选择服务器的常用方式之一,...
腾讯云+社区联合腾讯码客、腾讯安全平台部全新打造的创新赛事—— 腾讯极客挑战...