DNAT：destination NAT PREROUTING , OUTPUT

把本地网络中的主机上的某服务开放给外部网络访问(发布服务和端口映射)，

但隐藏真实IP

请求报文：修改目标IP

典型应用场景：比如有web服务器放在内网配置内网ip，前端有个防火墙配置公网ip，互联

网上的访问者使用公网ip来访问这个网站当访问的时候，客户端发出一个数据包，这个数据

包的报头里边，目标地址写的是防火墙的公网ip，防火墙会把这个数据包的报头改写一次，

将目标地址改写成web服务器的内网ip，然后再把这个数据包发送到内网的web服务器上，这样，数据包就穿透了防火墙，并从公网ip变成了一个对内网地址的访问了，即DNAT，基于目标的网络地址转换。

PNAT：port nat，端口和IP都进行修改

SNAT：固定IP

–to-source [ipaddr-ipaddr][:port-port]

–random

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j SNAT –tosource ExtIP

示例：

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j SNAT —

to-source 172.18.1.6-172.18.1.9

SNAT：动态IP

MASQUERADE：地址伪装

如此配置的话，不用指定SNAT的目标ip了，不管现在网卡的出口获得了怎样的动态ip，

MASQUERADE会自动读取网卡现在的ip地址然后做SNAT出去，这样就实现了很好的动态

SNAT地址转换。

–to-ports port-port

–random

iptables -t nat -A POSTROUTING -s LocalNET ! -d LocalNet -j MASQUERADE

示例：

iptables -t nat -A POSTROUTING -s 10.0.1.0/24 ! –d 10.0.1.0/24 -j

MASQUERADE