重叠伪装和DNAT

Question

如何在内部IP空间上使用iptables将IP伪装(PAT/重载)与目标NAT重叠？

我想要的是一个专用网络( 10.0.0.0/24 )，其中一些公共it被映射到其内部的各种地址。但是，如果有来自10.0.0.0/24范围内的连接，无论它是否具有DNAT公共IP，它都会被重载到特定的公共ip上。

Answer 1

希望我也能理解你的问题。你在对鲍姆加特的回答的评论中对卢克的反应让我不得不怀疑我对你的要求的理解，但我还是要发布这篇文章。

鲍姆加特在他的回答中告诉你要做的事情是可行的，但他最后一段谈到"...will可能会导致客户端服务器应用程序的问题.“是不对的。他忘记了Netfilter的NAT实现是有状态的。Netfilter中NAT引擎的那种有状态的特性是您在这里的朋友。

当Internet主机和某个公共IP之间的会话被DNAT‘编辑到私有IP地址时，Netfilter不会“伪装”来自私有IP的响应数据包返回到Internet主机。这并不是说响应包没有NAT‘’ed，但它们不是“伪装的”。相反，Netfilter隐式“做正确的事情”，SNAT的响应包从私有IP返回到Internet主机发起会话的公共IP地址。它真的很光滑。

同时，对于源自因特网的私有IP地址的会话(而不是对来自Internet的传入请求的响应)，将适用“伪装”规则。

基本上，Netfilter做你想要的“开箱即用”。我花了一些时间，并在测试设置中模拟这一点，只是为了确定，而且，只要我正确理解您的需求，它就是在做您想要的事情。

(抱歉，今天早些时候我没能回答问题--我今天早些时候忙着做一些事情，你知道，我想怎么玩服务器故障就怎么玩。)