12年老牌互联网IT解决方案提供商
腾佑科技咨询热线咨询热线: 400-996-8756
工单提交 注册/登录
百度云服务中心腾佑科技公司
云服务器活动 服务器租用 服务器托管 机柜租赁 带宽租赁
  • 最新资讯
  • 热门资讯
  • 最热资讯
智能建站

基于netfilteriptables的NAT如何工作

发布时间:2012-07-18 18:09 作者:admin

分享到: QQ空间 新浪微博 腾讯微博 人人网 微信

简述:

Linux下的NAT 是基于netfilter/iptables的。netfilter/iptables 内核空间默认的表和链说明:filter 表用来过滤数据包,我们可以在任何时候匹配包并过滤它们。Mangle不经常使用还在开发当中。我们下面主要介绍Nat表来实现NAT功能。

(1)用户使用iptables命令在用户空间设置NAT规则,通过使用用户空间iptables命令,可以构建用户自己的定制NAT规则。所有规则存储在内核空间的nat表中。根据规则所处理的信息包类型,将规则分组在链中。要做SNAT的信息包被添加到POSTROUTING链中。要做DNAT的信息包被添加到PREROUTING链中。直接从本地出站的信息包的规则被添加到OUTPUT 链中。

(2)内核空间接管NAT工作

做过NAT操作的数据包的地址就被改变了,当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded,那么余下的包都会自动地被做相同的操作。也就是说,余下的包不会再通过这个表,一个一个的被NAT,而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址,如果需要的话。OUTPUT链改变本地产生的包的目的地址。图4 是数据包穿越整个netfilter/iptables的流程图。

(3)NAT工作步骤

DNAT:若包是被送往PREROUTING链的,并且匹配了规则, 则执行DNAT或REDIRECT目标。为了使数据包得到正确路由, 必须在路由之前进行DNAT。

路由:内核检查信息包的头信息,尤其是信息包的目的地。

处理本地进程产生的包:对nat表OUTPUT链中的规则实施规则检查, 对匹配的包执行目标动作。

SNAT:若包是被送往POSTROUTING链的,并且匹配了规则, 则执行SNAT或MASQUERADE目标。 系统在决定了数据包的路由之后才执行该链中的规则。

本文由专业服务器托管——腾佑科技(http://www.tuidc.com)提供。

点击展开全文

腾佑科技(www.tuidc.com)成立于2009年,总部位于河南郑州,是一家集互联网基础设施及软硬件于一体化的高新技术企业,具有IDC/ISP/ICP/云牌照、双软等资质,并拥有多个国家版权局认证。公司自成立以来,一直致力于发展互联网IDC数据中心DataCenter、云计算Cloud、大数据BigDate、人工智能AI、内容加速CDN、互联网安全、软件定制开发等产品服务及行业客户技术一体化智能解决方案;2018年成为百度智能云AI河南服务中心。

售前咨询热线:400-996-8756

备案提交:0371-89913068

售后客服:0371-89913000

热门活动

百度云服务中心
标签:

搜索词

热门产品推荐

上一篇:Linux下NAT的是怎么工作的
下一篇:与NAT相关的iptables命令格式
  • 热门资讯
  • 随便看看