将 FW 上的端口转发（NAT）到设备上，而无需设置 GW？

（我实际上多次提到过双 NAT，但没有详细解释。以下内容适用于 Linux，在 Mikrotik RouterOS 上将以相同的方式工作；我不确定如何在其他系统上实现这个概念，甚至不确定是否有可能。）

NAT 通常分为 SNAT 或 DNAT。

它被称为 SNAT，“源 NAT”是指将流的第一个数据包的源地址转换（更改）为其他地址。（通常源端口也会更改。）通常，这用于允许 LAN 中使用私有（RFC1918）地址的所有计算机访问公共 Internet；为此，当 NAT 盒将它们路由出去时，它们的地址将更改为 NAT 盒的公共地址。此外，它会记住所做的更改，从而可以区分回复数据包并为其应用反向地址（和端口）替换。但是对于那些要通过我们的 NAT 盒发送数据包的内部系统，它们首先需要通过它的路由。（它们甚至可能不知道它执行 NAT。）

例如，在Linux中：

iptables -t nat -A POSTROUTING -o wan_iface -j MASQUERADE

（MASQUERADE是一种 SNAT 类型规则，只是拼写方式不同，并且具有特殊逻辑“转换为传出接口所具有的任何地址”。）

DNAT，“目标 NAT”是指系统接收数据包并更改其目标地址。通常这样做是为了将数据包“转发”到 NAT 盒后面的某个“内部”系统；例如，可以设置路由器来转发到达端口 80 和 443 的任何内容，这些内容最初是发往路由器的 IP，以更改目标 IP 并将其进一步转发到某个 Web 服务器。NAT 盒将检测回复并替换其中的地址和端口。但是，该系统将看到原始源 IP 地址，因此它需要通过 NAT 盒路由到数据包的源地址才能正确回复。

例如，

iptables -t nat -A PREROUTING -i wan_iface -p tcp --dport 443 -j DNAT --to-destination internal_ip

在这两种情况下，通常将 NAT 盒设置为“默认网关”，因此当远程地址不在 LAN 中时，所有系统都会通过它路由数据包。

但实际上这并不是一个或另一个，你可以申请两个都同时考虑这两个概念。为此，您需要添加两个规则并精心设计它们，以便它们都匹配同一个数据包。由于 DNAT 规则首先被处理，因此 SNAT 规则将看到数据包被半翻译（目标地址和端口已更改）；在构建第二个规则匹配时需要考虑这一点。例如：

iptables -t nat -A PREROUTING -i wan_iface -p tcp --dport 443 -j DNAT --to-destination internal_ip
iptables -t nat -A POSTROUTING -o lan_iface -p tcp --dport 443 -d internal_ip -j MASQUERADE

请注意，第二个匹配检查第一个规则设置的目标地址。还值得一提的是，DNAT 规则通常与入口接口和“原始”目标 IP 地址过滤器一起使用，而 SNAT 规则通常与出口接口和“原始”源 IP 地址过滤器一起使用（但在本例中不是；您可能应该添加一个，请阅读最后的警告）。

实际情况是，数据包将首先根据第一条规则进行转换，并将其目标地址更改为某个内部 IP。然后，数据包被路由（决定转发），现在再次路由，出口接口被选中，第二条规则触发，将 IP 的源更改为路由器的 LAN 端地址。所以现在，具有内部 IP 的系统将“从路由器”接收数据包并“发往自身”。因此，由于源地址现在“在 LAN 中”，它不需要网关来发送回复。当然，任何回复都将被正确转换并转发回来。

这样做的一大缺点是内部系统无法知道谁真正发起了连接；该信息被网关隐藏。因此，网关必须严格过滤将破坏并通过此方式传递的数据包，以阻止任何恶意行为。如果目标系统没有设置网关，则无法解决这个问题。

另一个增强功能是为网关的 LAN 接口分配额外的地址，以便在 SNAT 规则中使用它（-j SNAT --to-source additional_LAN_address而不是-j MASQUERADE）。这样，如果只有少数外部系统需要以这种方式进行通信，您可以为每个系统分配一个“内部”地址，并将每个系统转换为“其”内部地址。目标无网关系统将看到这些地址，因此它将能够分辨出这个数据包是谁的。