NAT - network address translation - позволяет заменять адреса источника или отправителя пакета.
НАТ является частью фаервола, поэтому схема управления остается той же, меняется только действие. Все сетевые пакеты, являются ли они транзитными или предназначаются маршрутизатору, попадают сперва в цепочку PREROUTING, где над ними может быть выполнено несколько действий. В этой цепочке не рекомендуется производить фильтрацию пакетов, для этого надо использовать цепочку FORWARD фаервола. Цепочка PREROUTING предназначена для выполнения DNAT - destination NAT, т.е. замена адреса получателя пакета.
В цепочку POSTROUTING идут пакеты, выходящие с маршрутизатора, транзитные или сгенерированные на маршрутизаторе. В этой цепочке можно выполнить SNAT - source NAT - замену адреса отправителя, с указанием адреса, либо MASQUERADE - смысл тот же, только адрес замена будет выбираться автоматически (удобно при работе с динамическими интерфейсами и IP-адресами).
Для этих цепочек так же выставляются политики, т.е. действия для пакетов, не попавшие ни под одно правило:
Т.к. в цепочку PREROUTING попадают пакеты, предназначающиеся самому маршрутизатору, перед выставлением политики DROP убедитесь, что в цепочке есть правило, разрешающее прохождение пакетов для управления маршрутизатором.
Добавление правил осуществляется нажатием кнопки "+", расположенной рядом с заголовком соответствующей таблицы:
Добавление правила и поля аналогично добавлению правила в фаерволе (Network/Firewall/Filter), добавляется только одно новое поле:
Редактирование и удаление правил осуществляется с помощью кнопок "e" и "x", расположенных рядом с правилом.
Для работы НАТа необходимо активировать фаервол на странице Network/Firewall.