日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Linux 2.4 NAT HOWTO( 五 )

云知道


#;iptables;-t;nat;-A;PREROUTING;-i;eth1;-j;DNAT;--to;5.6.7.8

##;Change;destination;addresses;to;5.6.7.8,;5.6.7.9;or;5.6.7.10.
#;iptables;-t;nat;-A;PREROUTING;-i;eth1;-j;DNAT;--to;5.6.7.8-5.6.7.10

##;Change;destination;addresses;of;web;traffic;to;5.6.7.8,;port;8080.
#;iptables;-t;nat;-A;PREROUTING;-p;tcp;--dport;80;-i;eth1;
-j;DNAT;--to;5.6.7.8:8080

##;Redirect;local;packets;to;1.2.3.4;to;loopback.
#;iptables;-t;nat;-A;OUTPUT;-d;1.2.3.4;-j;DNAT;--to;127.0.0.1


重導(dǎo)向;(Redirection)
在;Destination;NAT;有一個(gè)特別的情形:它是一個(gè)簡單的便利 , 完全等同於給傳入界面地址做;DNAT;一樣 。;


##;Send;incoming;port-80;web;traffic;to;our;squid;(transparent);proxy
#;iptables;-t;nat;-A;PREROUTING;-i;eth1;-p;tcp;--dport;80;
-j;REDIRECT;--to-port;3128


6.3;進(jìn)一步的映對(Mappings);
還有許多;NAT;上面的解決方案是大多數(shù)人無需用到的 。這里不妨和那些有興趣的朋友探討一下:;


同一□圍內(nèi)的復(fù)合地址(Multiple;Addresses)之選擇 。
如果您已經(jīng)指定了一段;IP;地址 , ;而;IP;地址的使用選擇是基於機(jī)器所知連線目前最少使用之;IP 。它可以提供最原始的平衡負(fù)載(load-balancing) 。;


建立空;NAT;映對
您可以使用;`-j;ACCEPT";目標(biāo)來讓一個(gè)連線通過 , 而繞過;NAT;的處理 。;


標(biāo)準(zhǔn)的;NAT;行為(Behaviour)
預(yù)設(shè)的行為是在使用者制定的規(guī)則限制內(nèi) , 盡可能少的改變連線 。換而言之 , 非不得已不要重映對(remap)埠口 。;


絕對來源埠口映對
如果其它連線已經(jīng)被映對到新的連線 , 就算對於一個(gè)無需;NAT;的連線來說 , 來源埠口的轉(zhuǎn)換有時(shí)或是必須絕對存在的 。讓我們假設(shè)一個(gè)封包偽裝的情形 , 這已經(jīng)非常普遍了:;


一個(gè)網(wǎng)頁連線由一臺(tái);192.1.1.1;的機(jī)器從;port;1024;建立 , 要連接到www.netscape.com;port;80 。;
它被封包偽裝主機(jī)以其自己的;IP;地址(1.2.3.4)進(jìn)行偽裝 。;
該封包偽裝主機(jī)嘗試由;1.2.3.4;(它的外部界面地址);port;1024;來做一個(gè)網(wǎng)頁連線至www.netscape.com;port;80 。;
然後;NAT;程式改變第二個(gè)連線的來源埠口為;1025 , 所以這兩個(gè)連線不至於相沖(clash) 。;

當(dāng)這個(gè)絕對來源映對存在之時(shí) , 埠口被拆分為三個(gè)等級(jí):;

512;以下的埠口;
512;到;1023;之間的埠口;
1024;以上的埠口;
任何一個(gè)埠口都不會(huì)被絕對映對到不同的等級(jí)去 。;


當(dāng);NAT;失效時(shí)會(huì)怎樣?
如果沒有辦法如用戶要求那樣獨(dú)一無二地映對連線 , 那麼連線就會(huì)被擋掉 。當(dāng)一個(gè)封包不能夠界定為任何連線的時(shí)候 , 結(jié)果也一樣 , 因?yàn)樗鼈兛伤闶腔蔚?, 或者是該機(jī)器記憶體耗光了 , 諸如此類 。;


復(fù)合映對、重疊、和相沖(clash)
您可以設(shè)定;NAT;規(guī)則在同一個(gè)□圍之上映對封包;NAT;程式足以聰明的去避免相沖 。比方說 , 用兩條規(guī)則將;192.168.1.1;和;192.168.1.2;這兩個(gè)來源地址分別映對到;1.2.3.4 , 是完全可行的 。;


再來 , 您可以映對到真實(shí)的、已用的;IP;地址 , 只要這些地址通過這個(gè)映對主機(jī)就行 。所以 , 如果您獲得一個(gè)網(wǎng)路(1.2.3.0/24) , 但有一個(gè)內(nèi)部網(wǎng)路使用這些地址 , 而另一個(gè)使用私有地址;192.168.1.0/24; , 您就可以;NAT;那些;192.168.1.0/24;的來源地址到;1.2.3.0;網(wǎng)路之上 , 而無需擔(dān)心相沖:;

#;iptables;-t;nat;-A;POSTROUTING;-s;192.168.1.0/24;-o;eth1;
-j;SNAT;--to;1.2.3.0/24


這同樣適用於那些;NAT;主機(jī)自己使用的地址:這其實(shí)就是封包偽裝如何工作的了(分享偽裝封包地址和來自主機(jī)本身封包之;`真實(shí)";地址 。;);


更甚者 , 您還可以映對相同的封包到許多不同的目標(biāo)(targets)上去 , 而且它們都是共享的 。例如 , 如果您不想映對任何東西到;1.2.3.5;上去 , 您可以這樣做:;

推薦閱讀