日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

Linux 2.4 NAT HOWTO( 六 )

云知道




#;iptables;-t;nat;-A;POSTROUTING;-s;192.168.1.0/24;-o;eth1;
-j;SNAT;--to;1.2.3.0-1.2.3.4;--to;1.2.3.6-1.2.3.254


改變本機(jī)產(chǎn)生的連線之目的地
如果本機(jī)產(chǎn)生的封包之目的地改變了(例如 , 用;OUTPUT;鏈) , 而這樣會(huì)導(dǎo)致封包由不同的界面送出去 , 這樣來(lái)源地址也跟著變?yōu)槟莻€(gè)界面 。舉例子說(shuō) , 改變一個(gè)環(huán)回(loopback)封包之目的地由;eth0;送出 , 會(huì)讓來(lái)源地址也由;127.0.0.1;變成;eth0;的地址;而不像其它來(lái)源地址映對(duì)那樣 , 這是立即完成的 。當(dāng)然 , 所有這些映對(duì)在回應(yīng)封包進(jìn)入時(shí)是顛倒過(guò)來(lái)的 。;



--------------------------------------------------------------------------------


--------------------------------------------------------------------------------

7.;特殊協(xié)定
有些協(xié)定是并不想要做;NAT;的 。對(duì)於每一個(gè)這樣的協(xié)定而言 , 有兩個(gè)延伸設(shè)定(extension)是必須要寫(xiě)清楚的:一個(gè)是關(guān)於協(xié)定之連線追蹤 , 另一個(gè)關(guān)於實(shí)際的;NAT 。;


在;netfilter;發(fā)行套件里面 , 有一些關(guān)於;ftp;的現(xiàn)行模組:ip_conntrack_ftp.o;與;ip_nat_ftp.o; 。如果您把這些插入到您的核心里面(或您永久性的編譯它們) , 那麼要在;ftp;連線上做任何種類(lèi)的;NAT;都是可行的 。如果您不這樣的話 , 那您可以使用被動(dòng)模式;ftp , 不過(guò)如果您要做一些動(dòng)作甚於簡(jiǎn)單;Source;NAT;的話 , 這就可能不那麼可靠了 。;



--------------------------------------------------------------------------------


--------------------------------------------------------------------------------

8.;NAT;的一些限制;(caveats)
如果在一個(gè)連線上做;NAT , 所有;雙向;(傳出和傳入);的封包 , 都必須要通過(guò);NAT;主機(jī)才行 , 否則并不可靠 。尤其在連線追蹤程式重組碎片;(fragments)的時(shí)候 , 也就是說(shuō) , 不但連線追蹤會(huì)不可能 , 而且您的封包根本就不能通過(guò) , 因?yàn)樗槠瑫?huì)被擋下 。;



--------------------------------------------------------------------------------


--------------------------------------------------------------------------------

9.;Source;NAT;與路由
如果您要做;SNAT , 您會(huì)想要確定經(jīng)過(guò);SNAT;封包所傳給的主機(jī)會(huì)將回應(yīng)送回給;NAT;主機(jī) 。例如 , 如果您映對(duì)某些傳出封包到來(lái)源地址;1.2.3.4;之上 , 那麼外部的路由器就必須知道要將回應(yīng)封包(目的地為;1.2.3.4;)送回給該主機(jī) 。這可以用如下方法做到:;


如果您要在主機(jī)自己的地址(路由和其它所有運(yùn)作皆正常)上面做;SNAT , 您無(wú)需做任何動(dòng)作 。;
如果您要在一個(gè)在本機(jī)網(wǎng)路上尚未使用的地址做;SNAT(例如 , 映對(duì)到在;1.2.3.0/24;網(wǎng)路上的一個(gè)可用;IP;1.2.3.99) , 您的;NAT;主機(jī)就需要回應(yīng)關(guān)於該地址的;ARP;請(qǐng)求 , 一如它自己本身的一樣:最簡(jiǎn)單的方法就是建立;IP;alias , 例如:;
#;ip;address;add;1.2.3.99;dev;eth0

如果您要在一個(gè)完全不同的地址上做;SNAT , 您就要確定;SNAT;封包抵達(dá)的機(jī)器能夠路由回該;NAT;主機(jī) 。如果;NAT;主機(jī)是它們的預(yù)設(shè)閘道器的話 , 是可以做到的 , 否則 , 您就要廣告(advertize;)一個(gè)路由(如果跑路由協(xié)定的話) , 或是手工的在每一臺(tái)參與機(jī)器上增加路由 。;


--------------------------------------------------------------------------------


--------------------------------------------------------------------------------

10.;在同一網(wǎng)路上的;Destination;NAT;
如果您要做;portforwarding;回到同一個(gè)網(wǎng)路 , 您要確定前向和回應(yīng)封包雙方都經(jīng)過(guò)該;NAT;主機(jī)(這樣它們才能被修改) 。NAT;程式從現(xiàn)在開(kāi)始(2.4.0-test6以後) , 會(huì)擋掉後面情形所產(chǎn)生的傳出;ICMP;重導(dǎo)向:那些已經(jīng);NAT;的封包以它所進(jìn)入的相同界面?zhèn)鞒?, 而接收端伺服器仍嘗試直接回應(yīng)到客戶端(不認(rèn)可該回應(yīng)) 。;

推薦閱讀