NAT — network address translation — позволяет заменять адреса источника или отправителя пакета.
NAT является частью межсетевого экрана, поэтому схема управления остаётся той же, меняется только действие. Для цепочек в NAT так же выставляются политики, т.е. действия для пакетов, не попавшие ни под одно правило:
Т.к. в цепочку PREROUTING попадают пакеты, предназначающиеся самому маршрутизатору, перед выставлением политики DROP убедитесь, что в цепочке есть правило, разрешающее прохождение пакетов для управления маршрутизатором.
Все сетевые пакеты, являются ли они транзитными или предназначаются маршрутизатору, попадают сперва в цепочку PREROUTING, где над ними может быть выполнено несколько действий. В этой цепочке не рекомендуется производить фильтрацию пакетов, для этого надо использовать цепочку FORWARD. Цепочка PREROUTING предназначена для выполнения DNAT — destination NAT, т.е. замена адреса получателя пакета.
Окно добавления правила показано ниже.
При выборе действия DNAT появляется новая опция Nat to address — адрес, на который надо заменить адрес получателя в пакете. Можно указать как один адрес, так и адрес вместе с номером порта через двоеточие (например, 192.168.2.1:25).
В цепочку POSTROUTING идут пакеты, выходящие с маршрутизатора, транзитные или сгенерированные на маршрутизаторе. В этой цепочке можно выполнить SNAT — source NAT — замену адреса отправителя, с указанием адреса, либо MASQUERADE — смысл тот же, только адрес замены будет выбираться автоматически (удобно при работе с динамическими интерфейсами и IP-адресами).
Добавление правила аналогично добавлению правила для цепочки PREROUTING.
Для работы НАТа необходимо активировать межсетевой экран на странице Network/Firewall.