Linux如何使用iptables实现网络地址转换

Linux上实现NAT需开启IP转发，配置iptables的SNAT（出站修改源IP）和DNAT（入站修改目的IP），并配合filter表允许转发，最后保存规则以确保重启后生效。

Linux上实现网络地址转换（NAT），核心是利用

iptables

NAT

iptables

解决方案

要使用

iptables

1. 开启IP转发功能 在配置任何NAT规则之前，你的Linux系统必须开启IP转发功能，否则数据包无法在不同网络接口之间转发。

echo 1 > /proc/sys/net/ipv4/ip_forward
sysctl -p # 确保修改立即生效

为了让这个设置在系统重启后依然有效，你需要编辑

/etc/sysctl.conf

net.ipv4.ip_forward = 1

2. 源地址转换（SNAT） SNAT主要用于内网主机通过一个共享的公网IP访问互联网。当内网主机的数据包离开Linux路由器时，其源IP地址会被修改为路由器的公网IP。

• 使用

  MASQUERADE

  登录后复制
  （伪装） 当你的公网IP是动态分配时，

  MASQUERADE

  登录后复制
  是最佳选择。它会自动获取出口网卡的IP地址。

  iptables -t nat -A POSTROUTING -o <你的公网出口网卡名> -j MASQUERADE

  登录后复制

  例如，如果你的公网网卡是

  eth0

  登录后复制
  ：

  iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

  登录后复制
• 使用

  SNAT

  登录后复制
  如果你的公网IP是固定不变的，直接指定IP地址会更高效。

  iptables -t nat -A POSTROUTING -o <你的公网出口网卡名> -j SNAT --to-source <你的公网IP地址>

  登录后复制

  例如，如果公网IP是

  203.0.113.10

  登录后复制
  ：

  iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 203.0.113.10

  登录后复制

  如果你有多个公网IP，也可以指定一个范围：

  --to-source 203.0.113.10-203.0.113.20

  登录后复制
  。

3. 目的地址转换（DNAT） DNAT通常用于将外部网络（互联网）的请求，转发到内部网络中的特定服务器或服务。比如，你有一个Web服务器在内网，但希望通过公网IP的80端口访问它。

• 端口转发

  iptables -t nat -A PREROUTING -i <你的公网入口网卡名> -p tcp --dport <外部访问端口> -j DNAT --to-destination <内网服务器IP>:<内网服务端口>

  登录后复制

  例如，将公网

  eth0

  登录后复制
  上的80端口请求转发到内网

  192.168.1.100

  登录后复制
  的80端口：

  iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80

  登录后复制

  如果外部访问端口和内部服务端口相同，可以省略内部端口：

  --to-destination 192.168.1.100

  登录后复制
  。 你也可以转发所有流量到某个内部IP，但这种情况比较少见且风险较高：

  iptables -t nat -A PREROUTING -i eth0 -j DNAT --to-destination 192.168.1.100

  登录后复制

4. 配合

FILTER

FILTER

iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

这里的

eth0

eth1

5. 保存规则

iptables

• Debian/Ubuntu:

  apt-get install iptables-persistent
  netfilter-persistent save
  netfilter-persistent reload

  登录后复制
• CentOS/RHEL:

  yum install iptables-services
  systemctl enable iptables
  systemctl start iptables
  iptables-save > /etc/sysconfig/iptables

  登录后复制

  在较新的CentOS版本中，可能需要使用

  firewalld

  登录后复制
  ，但如果你坚持使用

  iptables

  登录后复制
  ，需要禁用

  firewalld

  登录后复制
  。

iptables中的NAT表和链是如何协同工作的？

要理解

iptables

NAT

iptables

NAT

PREROUTING

POSTROUTING

OUTPUT

数据包一进到Linux系统，如果它要被转发，最先碰到的就是

PREROUTING

PREROUTING

接着，数据包经过路由判断，决定是发给本地进程还是转发出去。如果它要发出去，在离开系统之前，会经过

POSTROUTING

POSTROUTING

知网AI智能写作

知网AI智能写作，写文档、写报告如此简单

38

查看详情

还有一个

OUTPUT

OUTPUT

PREROUTING

POSTROUTING

所以，整个流程就像一个精密的流水线：数据包进来（

PREROUTING

POSTROUTING

NAT

配置源地址转换（SNAT）和目的地址转换（DNAT）时有哪些关键考量？

配置SNAT和DNAT虽然看起来直接，但实际操作中有很多细节需要注意，否则很容易掉进坑里。

1. 网络拓扑和IP规划的清晰度： 在动手配置之前，务必画一张清晰的网络拓扑图，明确哪些是公网接口、哪些是内网接口，以及各个网段的IP地址规划。特别是内网服务器的IP地址，必须是静态的或者通过DHCP保留，这样DNAT才能稳定地转发到正确的目的地。如果你内网服务器的IP经常变动，DNAT规则很快就会失效。

2. 接口方向的准确性（-i 和 -o）：

iptables

-i

-o

• 对于DNAT（通常在

  PREROUTING

  登录后复制
  链），

  -i

  登录后复制
  应该指定为公网接口，因为数据包是从公网进入的。
• 对于SNAT（通常在

  POSTROUTING

  登录后复制
  链），

  -o

  登录后复制
  应该指定为公网出口接口，因为数据包是从这个接口出去的。 搞错接口方向，规则就完全不生效了。

3. 端口和协议的精确匹配： DNAT时，如果你只希望转发特定服务的请求，比如Web服务的80端口，就一定要指定

-p tcp --dport 80

4.

MASQUERADE

SNAT

• MASQUERADE

  登录后复制
  ：适用于公网IP地址是动态分配的场景（比如PPPoE拨号）。它会自动识别并使用当前出口网卡的IP地址，非常方便。但它会增加一些CPU开销，因为它每次都要查询IP地址。

• SNAT

  登录后复制
  ：适用于公网IP地址是静态固定的场景。直接指定

  --to-source <公网IP>

  登录后复制
  ，效率更高，因为不需要每次都查询。如果你有多个公网IP，也可以指定一个IP范围，实现简单的负载均衡。

5.

FILTER

FILTER

FORWARD

• 对于DNAT，你需要允许从公网接口到内网接口的特定端口的转发。
• 对于SNAT，你需要允许从内网接口到公网接口的转发。 通常会结合

  --state NEW,ESTABLISHED,RELATED

  登录后复制
  来允许新建连接、已建立连接和相关连接，这样能更精确地控制流量，同时保持安全性。

6. 环回问题（Hairpin NAT / NAT Loopback）： 这是一个常见的坑。如果内网主机想通过公网IP访问内网的服务器（比如通过域名解析到公网IP），数据包会先到达路由器，然后DNAT到内网服务器。但如果路由器没有特殊处理，内网服务器收到的请求源IP是路由器的内网IP，而不是原始内网主机的IP，这可能导致一些应用识别客户端IP失败。更糟糕的是，响应包可能不会再次经过路由器，直接返回给请求主机，导致连接中断。解决这个问题通常需要额外的SNAT规则，将内网访问内网服务器的数据包的源IP也进行转换，或者在DNS层面解决。

7. 规则的顺序和持久化：

iptables

iptables-save

iptables-restore

iptables-persistent

如何让iptables的NAT规则在系统重启后依然有效？

让

iptables

1. 使用

iptables-persistent

• 安装：

  sudo apt-get install iptables-persistent

  登录后复制

  安装过程中，它会询问你是否保存当前的IPv4和IPv6规则。选择“是”，它就会将当前规则保存到

  /etc/iptables/rules.v4

  登录后复制
  和

  /etc/iptables/rules.v6

  登录后复制
  。

• 保存规则： 当你修改了

  iptables

  登录后复制
  规则后，需要手动保存才能让这些修改在下次重启时生效。

  sudo netfilter-persistent save

  登录后复制

  这个命令会把当前内存中的

  iptables

  登录后复制
  规则写入到上述配置文件中。

• 加载规则： 系统启动时，

  netfilter-persistent

  登录后复制
  服务会自动加载这些配置文件中的规则。如果你想手动加载，可以使用：

  sudo netfilter-persistent reload

  登录后复制

2. 使用

iptables-services

firewalld

iptables-services

iptables

• 安装：

  sudo yum install iptables-services

  登录后复制
• 启动并启用服务：

  sudo systemctl enable iptables # 设置开机自启动
  sudo systemctl start iptables # 立即启动iptables服务

  登录后复制
• 保存规则： 当你修改了

  iptables

  登录后复制
  规则后，使用以下命令保存：

  sudo iptables-save > /etc/sysconfig/iptables

  登录后复制

  这个命令会将当前内存中的IPv4规则导出到

  /etc/sysconfig/iptables

  登录后复制
  文件。系统启动时，

  iptables

  登录后复制
  服务会读取这个文件并加载规则。 对于IPv6规则，则是：

  sudo ip6tables-save > /etc/sysconfig/ip6tables

  登录后复制
• 注意： 在CentOS 7及更高版本中，

  firewalld

  登录后复制
  是默认的防火墙管理工具。如果你想用

  iptables

  登录后复制
  ，通常需要先禁用

  firewalld

  登录后复制
  ：

  sudo systemctl stop firewalld
  sudo systemctl disable firewalld

  登录后复制

  然后才能启用

  iptables

  登录后复制
  服务。

3. 通过自定义启动脚本 这是一个更通用的方法，适用于任何Linux发行版，但需要你手动创建和管理脚本。

• 创建规则文件： 将当前的

  iptables

  登录后复制
  规则导出到一个文件中（例如

  /etc/iptables/rules.sh

  登录后复制
  ）：

  sudo iptables-save > /etc/iptables/rules.v4

  登录后复制

• 创建加载脚本： 创建一个shell脚本，例如

  /etc/rc.local

  登录后复制
  （如果存在且可用）或

  /etc/init.d/your_iptables_script

  登录后复制
  ，或者在

  systemd

  登录后复制
  下创建一个服务单元。 最简单的方式是在

  /etc/rc.local

  登录后复制
  中添加：

  #!/bin/bash
  /sbin/iptables-restore < /etc/iptables/rules.v4
  exit 0

  登录后复制

  确保

  /etc/rc.local

  登录后复制
  有执行权限：

  sudo chmod +x /etc/rc.local

  登录后复制
  。 如果你的系统使用

  systemd

  登录后复制
  ，更推荐创建一个

  .service

  登录后复制
  文件：

  # /etc/systemd/system/iptables-restore.service
  [Unit]
  Description=Restore iptables rules
  Before=network-online.target
  Wants=network-online.target
  
  [Service]
  Type=oneshot
  ExecStart=/sbin/iptables-restore < /etc/iptables/rules.v4
  ExecStop=/sbin/iptables-save > /etc/iptables/rules.v4
  RemainAfterExit=yes
  
  [Install]
  WantedBy=multi-user.target

  登录后复制

  然后启用并启动这个服务：

  sudo systemctl enable iptables-restore.service
  sudo systemctl start iptables-restore.service

  登录后复制

无论你选择哪种方法，核心思想都是在系统启动时，将你保存的

iptables

以上就是Linux如何使用iptables实现网络地址转换的详细内容，更多请关注php中文网其它相关文章！