詳解局域網(wǎng)中NAT具體工作步驟

（1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行NAT的計(jì)算機(jī)。

（2）NAT主機(jī)表示包的端口和私有IP地址在其自己的端口號(hào)和通用IP地址中，并將包發(fā)送到遠(yuǎn)程網(wǎng)絡(luò)上的遠(yuǎn)程控制，并將跟蹤信息存儲(chǔ)在顯示表中，向客戶端發(fā)送響應(yīng)消息。

（3）外部網(wǎng)絡(luò)將信息發(fā)送回NAT主機(jī)。

（4）NAT主機(jī)是指在自己的端口和內(nèi)部網(wǎng)絡(luò)的私有IP地址中接收到的數(shù)據(jù)包的端口號(hào)和官方IP地址，并將其發(fā)送給客戶。

借助于NAT，私有（保留）地址的"內(nèi)部"網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時(shí)，私有地址被轉(zhuǎn)換成合法的IP地址，一個(gè)局域網(wǎng)只需使用少量IP地址（甚至是1個(gè)）即可實(shí)現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計(jì)算機(jī)與Internet的通信需求。

NAT將自動(dòng)修改IP報(bào)文的源IP地址和目的IP地址，IP地址校驗(yàn)則在NAT處理過程中自動(dòng)完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報(bào)文的數(shù)據(jù)部分中，所以還需要同時(shí)對(duì)報(bào)文的數(shù)據(jù)部分進(jìn)行修改，以匹配IP頭中已經(jīng)修改過的源IP地址。否則，在報(bào)文數(shù)據(jù)部分嵌入IP地址的應(yīng)用程序就不能正常工作。

① client（終端） 的 gateway （網(wǎng)關(guān)）設(shè)定為 NAT 主機(jī)，所以當(dāng)要連上 Internet 的時(shí)候，該封包就會(huì)被送到 NAT 主機(jī)，這個(gè)時(shí)候的封包 Header 之 source IP 為 192.168.1.100 ；

②而透過這個(gè) NAT 主機(jī)，它會(huì)將 client 的對(duì)外聯(lián)機(jī)封包的 source IP ( 192.168.1.100 ) 偽裝成 ppp0 ( 假設(shè)為撥接情況 )這個(gè)接口所具有的公共 IP ，因?yàn)槭枪?IP 了，所以這個(gè)封包就可以連上 Internet 了，同時(shí) NAT 主機(jī)并且會(huì)記憶這個(gè)聯(lián)機(jī)的封包是由哪一個(gè) ( 192.168.1.100 ) client 端傳送來的；

③由 Internet 傳送回來的封包，當(dāng)然由 NAT主機(jī)來接收了，這個(gè)時(shí)候， NAT 主機(jī)會(huì)去查詢原本記錄的路由信息，并將目標(biāo) IP 由 ppp0 上面的公共 IP 改回原來的 192.168.1.100 ；

④最后則由 NAT 主機(jī)將該封包傳送給原先發(fā)送封包的 Client。

DNAT：若包是被送往PREROUTING鏈的，并且匹配了規(guī)則，則執(zhí)行DNAT或REDIRECT目標(biāo)。為了使數(shù)據(jù)包得到正確路由，必須在路由之前進(jìn)行DNAT。

路由：內(nèi)核檢查信息包的頭信息，尤其是信息包的目的地。

處理本地進(jìn)程產(chǎn)生的包：對(duì)nat表OUTPUT鏈中的規(guī)則實(shí)施規(guī)則檢查，對(duì)匹配的包執(zhí)行目標(biāo)動(dòng)作。

SNAT：若包是被送往POSTROUTING鏈的，并且匹配了規(guī)則，則執(zhí)行SNAT或MASQUERADE目標(biāo)。系統(tǒng)在決定了數(shù)據(jù)包的路由之后才執(zhí)行該鏈中的規(guī)則。