NAT

NAT - network address translation - позволяет заменять адреса источника или отправителя пакета.

НАТ является частью фаервола, поэтому схема управления остается той же, меняется только действие. Все сетевые пакеты, являются ли они транзитными или предназначаются маршрутизатору, попадают сперва в цепочку PREROUTING, где над ними может быть выполнено несколько действий. В этой цепочке не рекомендуется производить фильтрацию пакетов, для этого надо использовать цепочку FORWARD фаервола. Цепочка PREROUTING предназначена для выполнения DNAT - destination NAT, т.е. замена адреса получателя пакета.

Рисунок 5.12. Цепочка PREROUTING

Цепочка PREROUTING

В цепочку POSTROUTING идут пакеты, выходящие с маршрутизатора, транзитные или сгенерированные на маршрутизаторе. В этой цепочке можно выполнить SNAT - source NAT - замену адреса отправителя, с указанием адреса, либо MASQUERADE - смысл тот же, только адрес замена будет выбираться автоматически (удобно при работе с динамическими интерфейсами и IP-адресами).

Рисунок 5.13. Цепочка POSTROUTING

Цепочка POSTROUTING

Для этих цепочек так же выставляются политики, т.е. действия для пакетов, не попавшие ни под одно правило:

Рисунок 5.14. Политики цепочек

Политики цепочек

Замечание

Т.к. в цепочку PREROUTING попадают пакеты, предназначающиеся самому маршрутизатору, перед выставлением политики DROP убедитесь, что в цепочке есть правило, разрешающее прохождение пакетов для управления маршрутизатором.

Добавление правил осуществляется нажатием кнопки "+", расположенной рядом с заголовком соответствующей таблицы:

Рисунок 5.15. Добавление правила

Добавление правила

Добавление правила и поля аналогично добавлению правила в фаерволе (Network/Firewall/Filter), добавляется только одно новое поле:

Редактирование и удаление правил осуществляется с помощью кнопок "e" и "x", расположенных рядом с правилом.

Для работы НАТа необходимо активировать фаервол на странице Network/Firewall.