NAT

NAT — network address translation — позволяет заменять адреса источника или отправителя пакета.

NAT является частью межсетевого экрана, поэтому схема управления остаётся той же, меняется только действие. Для цепочек в NAT так же выставляются политики, т.е. действия для пакетов, не попавшие ни под одно правило:

Рисунок 8.13. Политики цепочек

Политики цепочек

Замечание

Т.к. в цепочку PREROUTING попадают пакеты, предназначающиеся самому маршрутизатору, перед выставлением политики DROP убедитесь, что в цепочке есть правило, разрешающее прохождение пакетов для управления маршрутизатором.

Все сетевые пакеты, являются ли они транзитными или предназначаются маршрутизатору, попадают сперва в цепочку PREROUTING, где над ними может быть выполнено несколько действий. В этой цепочке не рекомендуется производить фильтрацию пакетов, для этого надо использовать цепочку FORWARD. Цепочка PREROUTING предназначена для выполнения DNAT — destination NAT, т.е. замена адреса получателя пакета.

Рисунок 8.14. Цепочка PREROUTING

Цепочка PREROUTING

Окно добавления правила показано ниже.

Рисунок 8.15. Добавление правила в цепочку PREROUTING

Добавление правила в цепочку PREROUTING

При выборе действия DNAT появляется новая опция Nat to address — адрес, на который надо заменить адрес получателя в пакете. Можно указать как один адрес, так и адрес вместе с номером порта через двоеточие (например, 192.168.2.1:25).

В цепочку POSTROUTING идут пакеты, выходящие с маршрутизатора, транзитные или сгенерированные на маршрутизаторе. В этой цепочке можно выполнить SNAT — source NAT — замену адреса отправителя, с указанием адреса, либо MASQUERADE — смысл тот же, только адрес замены будет выбираться автоматически (удобно при работе с динамическими интерфейсами и IP-адресами).

Рисунок 8.16. Цепочка POSTROUTING

Цепочка POSTROUTING

Добавление правила аналогично добавлению правила для цепочки PREROUTING.

Замечание

Для работы НАТа необходимо активировать межсетевой экран на странице Network/Firewall.