NAT: How To Mangle The Packets

最新推荐文章于 2021-12-03 11:02:27 发布
转载 最新推荐文章于 2021-12-03 11:02:27 发布 · 1k 阅读 · 0
文章标签:

#linux kernel #netfilter #nat

本文详细介绍了Linux内核中NAT规则的使用方法,包括源地址转换(Source NAT)、目标地址转换(Destination NAT)和重定向(Redirection),并提供了具体的iptables命令示例,帮助理解如何在不同场景下进行网络流量的操纵。

6. Saying How To Mangle The Packets

So now we know how to select the packets we want to mangle. Tocomplete our rule, we need to tell the kernel exactly what we want itto do to the packets.

6.1 Source NAT

You want to do Source NAT; change the source address of connectionsto something different. This is done in the POSTROUTING chain, justbefore it is finally sent out; this is an important detail, since itmeans that anything else on the Linux box itself (routing, packetfiltering) will see the packet unchanged. It also means that the `-o'(outgoing interface) option can be used.

Source NAT is specified using `-j SNAT', and the `--to-source'option specifies an IP address, a range of IP addresses, and anoptional port or range of ports (for UDP and TCP protocols only).

## Change source addresses to 1.2.3.4.
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

## Change source addresses to 1.2.3.4, 1.2.3.5 or 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

## Change source addresses to 1.2.3.4, ports 1-1023
# iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to 1.2.3.4:1-1023

Masquerading

There is a specialized case of Source NAT called masquerading: itshould only be used for dynamically-assigned IP addresses, such asstandard dialups (for static IP addresses, use SNAT above).

You don't need to put in the source address explicitly withmasquerading: it will use the source address of the interface thepacket is going out from. But more importantly, if the link goesdown, the connections (which are now lost anyway) are forgotten,meaning fewer glitches when connection comes back up with a new IPaddress.

## Masquerade everything out ppp0.
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

6.2 Destination NAT

This is done in the PREROUTING chain, just as the packet comes in;this means that anything else on the Linux box itself (routing, packetfiltering) will see the packet going to its `real' destination. Italso means that the `-i' (incoming interface) option can be used.

Destination NAT is specified using `-j DNAT', and the`--to-destination' option specifies an IP address, a range of IPaddresses, and an optional port or range of ports (for UDP and TCPprotocols only).

## Change destination addresses to 5.6.7.8
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8

## Change destination addresses to 5.6.7.8, 5.6.7.9 or 5.6.7.10.
# iptables -t nat -A PREROUTING -i eth0 -j DNAT --to 5.6.7.8-5.6.7.10

## Change destination addresses of web traffic to 5.6.7.8, port 8080.
# iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth0 \
        -j DNAT --to 5.6.7.8:8080

Redirection

There is a specialized case of Destination NAT called redirection:it is a simple convenience which is exactly equivalent to doing DNATto the address of the incoming interface.

## Send incoming port-80 web traffic to our squid (transparent) proxy
# iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \
        -j REDIRECT --to-port 3128

Note that squid needs to be configured to know it's a transparent proxy!

basing on Linux kernel 2.4.

directly from: http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-6.html

flxue
关注
netfilter之conntrack-helper
fengcai_ke的博客
07-18 2249
netfilter conntrack-helper
kubeadm 以 containerd & cri-docker 作为容器运行时,部署1.26.9版本的kubernetes集群
刘某的博客
04-12 1174
本文采用 kubeadm,以 containerd & cri-docker 作为容器运行时,部署 calico 网络模式的k8s集群
防火墙Mangle-连接标记和包标记-从零开始学RouterOS系列09
bierxiu9789的博客
08-09 840
本章主要用途:连接标记和包标记的关系QOS里面的连接标记,对于主要是对于符合规则的数据包进行归类,用于其他模块的调用,如常见的队列Queue,策略路由,PCC多拨等。我们先讲解一下连接标记和包标记,这是为了后面的队列树做前提。首先连接是什么?当我们发起一个请求的话,请求网站提供图片下载,就是一条连接。那么图片很大,需要很多次数据包才能下载完成。这就是连接和数据包的关系。一个连...
iptables语法总结
zzulp的专栏
05-22 4657
iptables SyntaxAs presented earlier, iptables uses the concept of separate rule tables for different packet processing functionality. Nondefault tables are specified by a command-line
ROS中Mangle解析
weixin_33694620的博客
06-06 566
http://blog.youkuaiyun.com/bluecy/article/details/8192307
Iptables Tutorial 1.2.1(2)
子曰小玖的博客
05-20 2788
Chapter 7. The state machine This chapter will deal with the state machine and explain it in detail. After reading through it, you should have a complete understanding of how the State machine works. We will also go through a large set of examples on how
Iptables Tutorial 1.2.1(3)
子曰小玖的博客
05-20 2544
Chapter 12. Debugging your scripts One of the big and underestimated sides of writing your own rulesets is how to debug the rulesets on your own, and how to find where you have done your mistakes in the rulesets. This chapter will show you a few basic ste
Kubernetes 使用kubeadm创建集群
m0_60028455的博客
12-03 2535
镜像下载、域名解析、时间同步请点击 阿里巴巴开源镜像站 实践环境 CentOS-7-x86_64-DVD-1810 Docker 19.03.9 Kubernetes version: v1.20.5 开始之前 1台Linux操作或更多,兼容运行deb,rpm 确保每台机器2G内存或以上 确保当控制面板的结点机,其CPU核数为双核或以上 确保集群中的所有机器网络互连 目标 安装一个Kubernetes集群控制面板 基于集群安装一个Pod networ以便集群之间可以相互通信安装指导 安装Docker 安装
mangle 打标签冲突
weixin_33738982的博客
02-10 210
网络环境1、一台服务器中有两个网络出口,出口1为电信;出口2为联通;出口3位移动,三个网络出口通过p55p1出网只是vlan不同。默认网关在移动2、内网出口为p55p2出网网络需求内网的所有80流量和443流量全部走联通口,其中内网源地址中的1.1.1.1用户80流量走电信网络top需要指定一个策略路由表 web 和 nw 其中web走80和443流量,nw走1.1.1.1的80流量操作命令(...
NetfilterMangle机制
瑞风轻拂
12-21 2882
Mangle是一个比较容易被人忽略的机制,而且Mangle的使用机会并不是很多,但如果需要时又不懂Mangle机制,也是件很麻烦的事,在此还是要说明一下Mangle机制。 Mangle通过标记特定的IP数据流后,为Filter、NAT和、路由、Queue提供标记后的IP数据流。 Mangle特点 不管是QoS、防火墙、nat规则和路由,在许多特殊的应用中都会使用Man
Linux Netfilter简介
飞翔de刺猬
01-11 3527
Netfilter From Wikipedia, the free encyclopedia Jump to: navigation, search Netfilter Stable release Linux 3.1 / 2011-10-24 Development status Active Written in C O
Mangle的开篇记----一个初级phper的心路历程
weixin_30672019的博客
01-14 104
从培训学校学习php出来至今差不多有小半年了吧,年关之前回顾了过去的2013的得与失. 2013年头,在经历2次不太愉快的工作经历后,下定决心踏上进京学习的道路.5个月之后我以为我会充满信心的找到理想的工作,从此踏上人生的正轨.然而事实正好相反,我就好像一只刚跳出井底的青蛙,看着自己学的一点皮毛,对于未来,反而是更加充满着迷茫.跌跌撞撞间,加入了目前就职的一家外包公司.说...
iptables深入解析-mangle
weixin_34107739的博客
08-08 2425
讲了filter、ct、nat 现在剩下最后一个知名模块mangle,但是自身虽然知道内核支持修改数据包的信息,它主要用在策略路由和qos上.我们就具体分析一下. mangle表主要用于修改数据包的TOS(Type Of Service,服务类型)、TTL(Time To Live,生存周期)指以及为数据包设置Mark标...
基于实时迭代的数值鲁棒NMPC双模稳定预测模型(Matlab代码实现)
12-14
基于实时迭代的数值鲁棒NMPC双模稳定预测模型(Matlab代码实现)内容概要:本文介绍了基于实时迭代的数值鲁棒非线性模型预测控制(NMPC)双模稳定预测模型的研究与Matlab代码实现,重点在于通过数值方法提升NMPC在动态系统中的鲁棒性与稳定性。文中结合实时迭代机制,构建了能够应对系统不确定性与外部扰动的双模预测控制框架,并利用Matlab进行仿真验证,展示了该模型在复杂非线性系统控制中的有效性与实用性。同时,文档列举了大量相关的科研方向与技术应用案例,涵盖优化调度、路径规划、电力系统管理、信号处理等多个领域,体现了该方法的广泛适用性。; 适合人群:具备一定控制理论基础和Matlab编程能力,从事自动化、电气工程、智能制造等领域研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①用于解决非线性动态系统的实时控制问题,如机器人控制、无人机路径跟踪、微电网能量管理等;②帮助科研人员复现论文算法,开展NMPC相关创新研究;③为复杂系统提供高精度、强鲁棒性的预测控制解决方案。; 阅读建议:建议读者结合提供的Matlab代码进行仿真实践,重点关注NMPC的实时迭代机制与双模稳定设计原理,并参考文档中列出的相关案例拓展应用场景,同时可借助网盘资源获取完整代码与数据支持。
UWB-IMU、UWB定位对比研究(Matlab代码实现)
最新发布
12-14
UWB-IMU、UWB定位对比研究(Matlab代码实现)内容概要:本文介绍了名为《UWB-IMU、UWB定位对比研究(Matlab代码实现)》的技术文档,重点围绕超宽带(UWB)与惯性测量单元(IMU)融合定位技术展开,通过Matlab代码实现对两种定位方式的性能进行对比分析。文中详细阐述了UWB单独定位与UWB-IMU融合定位的原理、算法设计及仿真实现过程,利用多传感器数据融合策略提升定位精度与稳定性,尤其在复杂环境中减少信号遮挡和漂移误差的影响。研究内容包括系统建模、数据预处理、滤波算法(如扩展卡尔曼滤波EKF)的应用以及定位结果的可视化与误差分析。; 适合人群:具备一定信号处理、导航定位或传感器融合基础知识的研究生、科研人员及从事物联网、无人驾驶、机器人等领域的工程技术人员。; 使用场景及目标:①用于高精度室内定位系统的设计与优化,如智能仓储、无人机导航、工业巡检等;②帮助理解多源传感器融合的基本原理与实现方法,掌握UWB与IMU互补优势的技术路径;③为相关科研项目或毕业设计提供可复现的Matlab代码参考与实验验证平台。; 阅读建议:建议读者结合Matlab代码逐段理解算法实现细节,重点关注数据融合策略与滤波算法部分,同时可通过修改参数或引入实际采集数据进行扩展实验,以加深对定位系统性能影响因素的理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值