IP6Tables中的SNAT

Question

Netfilter说他们支持SNAT，DNAT支持ipv6。我在ip6tables的手册页下查看，并看到有SNAT和DNAT列出。所以我的问题是你是如何为他们制定规则的？我尝试为iptables使用相同的规则结构，但是ip6tables没有nat表，SNAT/DNAT是虚拟状态。因此，我不知道从这样的例子中可以做什么修改：

-t nat -A POSTROUTING -o eth0 -j SNAT --至1.2.3.4

适用于ip6tables。谢谢你的帮助！

Answer 1

编辑**：您需要一个3.7+内核，因为那时他们为ipv6发布了NAT表。然后使用iptables 1.4.17，可以使用以下简单命令：

• ip6tables -t nat -A POSTROUTING -o eth0 -j伪装

原文**：

在netfilter网站下可以找到：

• 各种网络地址和端口转换，例如NAT/NAPT (IPv4和IPv6)

来自ipv6手册页(http://linux.die.net/man/8/ip6tables)

• SNAT
• 虚拟状态，如果原始源地址与应答目的地不同，则进行匹配。
• 脱氧核糖核酸
• 虚拟状态，如果原始目的地与应答源不同，则进行匹配。

所以这似乎是可能的。但我没有找到使用它的例子。

Answer 2

我有一张nat桌

apoc ~ # ip6tables -t nat -nvL
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

并能编写SNAT规则：

apoc ~ # ip6tables -t nat -A POSTROUTING -o eth1 -j SNAT --to 2001:db8::1
apoc ~ # ip6tables -t nat -nvL POSTROUTING
Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 SNAT       all      *      eth1    ::/0                 ::/0                 to:2001:db8::1

这是在内核3.10.7-1-ARCH的ArchLinux上；它是最近添加到netfilter代码中的。

不过，我必须重申迈克尔·汉普顿：

更不用说，如果您甚至在IPv6部署的上下文中考虑NAT，那么有些事情是非常糟糕的，您需要重新审视您的网络设计。

Answer 3

IPv6没有NAT。IPv6的重点之一是消除NAT。NAT的发明(主要是)是为了扩展IPv4空间的可用数量。有了IPv6，我们又回到了互联网上所有端点的原始设计，这些端点都可以从所有其他端点中寻址。