当封包流经NAT電腦時,其位址/通訊端口會被修改,以達到改变包目的地(或旅程),或是让目的地误以为包是源自NAT电脑的效果。換言之,对封包执行NAT的电脑,可以成为新包的来源或目的地,或是成为真正来源与目的地之间的中继站。
*****************************
警告:
NAT需要连线追踪的能力,而连线追踪又需要电脑能看到所有包才有效,所以,如果你的防火墙是有多台电脑构行,请小心避免破坏连线追踪。
*****************************
利用NAT的位址/通讯埠操弄能力,可以执行许多有用的应用。为此,iptables內建一个nat表格,专用於设置各种涉及NAT操作的规则。
对於大多数协定,NAT可直接修改包的(来源/目的地)位址/通讯埠.而不必理会包的承戴內容为何。不过,某些恊定需要通讯双方在执行期才恊商位址或通讯端口(FTP恊定的资讯连線就是一例),換言之,这类恊定的承载內容里,含有影响后续相关连線的位址或通讯端口资讯。要让这类协定的封包能顺利通过NAT閘道,iptables势必需要能分析各種恊定封包的能力,否则,通讯双方将因为不知道NAT的存在.而交換了错误的位址(或通讯端口)资讯.造成协定失效。
很显然地,iptables不可能知道每一种承载内容含有位址资讯的协定,为此,iptables的NAT
逻辑容许你使用外挂模组,以协助处理需要交换位址资讯的协定之封包,你可用modprobe命令来将特定的辅助模组载入核心。《表13》列出了常用的 NAT辅助模组。
原文地址:https://www.cnblogs.com/fanweisheng/p/11180033.html
时间: 2024-10-14 14:29:51