我可以使用 iptables 创建 1:1 NAT 吗？

Question

对于 IP 版本 4 和 6，将来自外部和同一台机器内部接口的流量从原始地址转发到另一个地址的快速示例（可能不包括具有原始地址上的端点和执行点的现有连接的 ipsec 流量）。这也不会重定向本地执行程序生成的流量，为此您需要 OUTPUT 链。

#Activate forwarding
#Note: These forward settings are not reboot persistent
sysctl -w net.ipv6.conf.all.forwarding=1
sysctl -w net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -d original.add.re.ss -j DNAT --to-destination ipv4.add.re.ss
iptables -t nat -A POSTROUTING -j MASQUERADE

ip6tables -t nat -A PREROUTING -d [original.add.re.ss] -j DNAT --to-destination [2001::]
ip6tables -t nat -A POSTROUTING -j MASQUERADE

如果要将转发限制为仅来自外部的数据包，则必须修改规则，添加命名-i interface它们进入的接口或匹配所有不是来自本地地址的数据包-m addrtype ! --src-type LOCAL。您可以使用进一步排除广播和多播流量-m addrtype --dst-type UNICAST --src-type UNICAST。您还应该检查 FORWARD 链的默认策略是否为 ACCEPT 或在该链中添加特定规则。

可以使用和转储现有的filter和表。如果有 DROP 策略，则表是您配置 FORWARD 规则的地方。PREROUTING /POSTROUTING 之前的表示追加。如果您需要插入规则，因为末尾有一个 DROP，您必须使用并在链名后面放一个数字。natiptables -S -t filteriptables -S -t natfilter-A-I

Answer 1

对于 IP 版本 4 和 6，将来自外部和同一台机器内部接口的流量从原始地址转发到另一个地址的快速示例（可能不包括具有原始地址上的端点和执行点的现有连接的 ipsec 流量）。这也不会重定向本地执行程序生成的流量，为此您需要 OUTPUT 链。

#Activate forwarding
#Note: These forward settings are not reboot persistent
sysctl -w net.ipv6.conf.all.forwarding=1
sysctl -w net.ipv4.ip_forward=1

iptables -t nat -A PREROUTING -d original.add.re.ss -j DNAT --to-destination ipv4.add.re.ss
iptables -t nat -A POSTROUTING -j MASQUERADE

ip6tables -t nat -A PREROUTING -d [original.add.re.ss] -j DNAT --to-destination [2001::]
ip6tables -t nat -A POSTROUTING -j MASQUERADE

如果要将转发限制为仅来自外部的数据包，则必须修改规则，添加命名-i interface它们进入的接口或匹配所有不是来自本地地址的数据包-m addrtype ! --src-type LOCAL。您可以使用进一步排除广播和多播流量-m addrtype --dst-type UNICAST --src-type UNICAST。您还应该检查 FORWARD 链的默认策略是否为 ACCEPT 或在该链中添加特定规则。

可以使用和转储现有的filter和表。如果有 DROP 策略，则表是您配置 FORWARD 规则的地方。PREROUTING /POSTROUTING 之前的表示追加。如果您需要插入规则，因为末尾有一个 DROP，您必须使用并在链名后面放一个数字。natiptables -S -t filteriptables -S -t natfilter-A-I

我可以使用 iptables 创建 1:1 NAT 吗？

答案1

相关内容