Iptables 中可以灵活的做各种网络地址转换（NAT，Network Address Translation）

      网络地址转换（NAT）主要有两种：SNAT 和 DNAT，但是也有一种特例 MASQUERADE （即，地址伪装）。

1、SNAT

      SNAT 是 Source Network Address Translation 的缩写，即源地址目标转换。

      典型应用：

多个PC机使用ADSL路由器共享上网
每个PC机都配置了内网IP
PC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的ip
当外部网络的服务器比如网站web服务器接到访问请求的时候
他的日志记录下来的是路由器的ip地址，而不是pc机的内网ip
这是因为，这个服务器收到的数据包的报头里边的“源地址”，已经被替换了
所以叫做SNAT，基于源地址的地址转换

2、DNAT

      DNAT 是 Destination Network Address Translation 的缩写，即目标网络地址转换。

      典型应用：

有个web服务器放在内网配置内网ip，
前端有个防火墙配置公网ip互联网上的访问者使用公网ip来访问这个网站当访问的时候，
客户端发出 一个数据包这个数据包的报头里边，
目标地址写的是防火墙的公网ip防火墙会把这个数据包的报头改写一次，
将目标地址改写成web服务器的内网ip然后再把 这个数据包发送到内网的web服务器上这样，
数据包就穿透了防火墙，
并从公网ip变成了一个对内网地址的访问了即DNAT，基于目标的网络地址转换

 3、MASQUERADE

        MASQUERADE，地址伪装，在 iptables 中有着和 SNAT 相近的效果，但也有一些区别：

        SNAT，DNAT，MASQUERADE都是 NAT，MASQUERADE 是 SNAT 的一个特例。

• SNAT 是指在数据包从网卡发送出去的时候，把数据包中的源地址部分替换为指定的 IP，这样，接收方就认为数据包的来源是被替换的那个 IP 的主机；
• MASQUERADE 是用发送数据的网卡上的 IP 来替换源 IP，因此，对于那些IP不固定的场合，比如拨号网络或者通过 dhcp 分配IP的情况下，就得用 MASQUERADE；
• DNAT，就是指数据包从网卡发送出去的时候，修改数据包中的目的 IP，表现为如果你想访问 A，可是因为网关做了 DNAT，把所有访问 A 的数据包的目的IP全部修改为 B，那么，你实际上访问的是B；
• 因为，路由是按照目的地址来选择的，因此，DNAT 是在 PREROUTING 链上来进行的，而 SNAT 是在数据包发送出去的时候才进行，因此是在 POSTROUTING 链上进行的。

 4、MASQUERADE 与 SNAT 的区别

       使用 SNAT 的时候，出口 IP 的地址范围可以是一个，也可以是多个。

       举个例子：

# 如下命令表示把所有 10.8.0.0 网段的数据包 SNAT 成 192.168.5.3 的 IP 然后发出去：
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3

# 如下命令表示把所有10.8.0.0网段的数据包SNAT成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去
iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j SNAT --to-source 192.168.5.3-192.168.5.5

      这就是 SNAT 的使用方法，即可以NAT成一个地址，也可以NAT成多个地址

      但是，对于 SNAT，不管是几个地址，必须明确的指定要 SNAT 的 ip

原文地址：https://www.cnblogs.com/morgan363/p/11811566.html