局域網(wǎng)中的NAT工作過程是怎么樣的詳細(xì)資料講解

（1）客戶機(jī)將數(shù)據(jù)包發(fā)給運(yùn)行NAT的計算機(jī)。

（2）NAT主機(jī)表示包的端口和私有IP地址在其自己的端口號和通用IP地址中，并將包發(fā)送到遠(yuǎn)程網(wǎng)絡(luò)上的遠(yuǎn)程控制，并將跟蹤信息存儲在顯示表中，向客戶端發(fā)送響應(yīng)消息。

（3）外部網(wǎng)絡(luò)將信息發(fā)送回NAT主機(jī)。

（4）NAT主機(jī)是指在自己的端口和內(nèi)部網(wǎng)絡(luò)的私有IP地址中接收到的數(shù)據(jù)包的端口號和官方IP地址，并將其發(fā)送給客戶。

借助于NAT，私有（保留）地址的“內(nèi)部”網(wǎng)絡(luò)通過路由器發(fā)送數(shù)據(jù)包時，私有地址被轉(zhuǎn)換成合法的IP地址，一個局域網(wǎng)只需使用少量IP地址（甚至是1個）即可實現(xiàn)私有地址網(wǎng)絡(luò)內(nèi)所有計算機(jī)與Internet的通信需求。

NAT將自動修改IP報文的源IP地址和目的IP地址，IP地址校驗則在NAT處理過程中自動完成。有些應(yīng)用程序?qū)⒃碔P地址嵌入到IP報文的數(shù)據(jù)部分中，所以還需要同時對報文的數(shù)據(jù)部分進(jìn)行修改，以匹配IP頭中已經(jīng)修改過的源IP地址。否則，在報文數(shù)據(jù)部分嵌入IP地址的應(yīng)用程序就不能正常工作。

① client（終端） 的 gateway （網(wǎng)關(guān)）設(shè)定為 NAT 主機(jī)，所以當(dāng)要連上 Internet 的時候，該封包就會被送到 NAT 主機(jī)，這個時候的封包 Header 之 source IP 為 192.168.1.100 ；

②而透過這個 NAT 主機(jī)，它會將 client 的對外聯(lián)機(jī)封包的 source IP （ 192.168.1.100 ） 偽裝成 ppp0 （ 假設(shè)為撥接情況 ）這個接口所具有的公共 IP ，因為是公共 IP 了，所以這個封包就可以連上 Internet 了，同時 NAT 主機(jī)并且會記憶這個聯(lián)機(jī)的封包是由哪一個 （ 192.168.1.100 ） client 端傳送來的；

③由 Internet 傳送回來的封包，當(dāng)然由 NAT主機(jī)來接收了，這個時候， NAT 主機(jī)會去查詢原本記錄的路由信息，并將目標(biāo) IP 由 ppp0 上面的公共 IP 改回原來的 192.168.1.100 ；

④最后則由 NAT 主機(jī)將該封包傳送給原先發(fā)送封包的 Client。

DNAT：若包是被送往PREROUTING鏈的，并且匹配了規(guī)則，則執(zhí)行DNAT或REDIRECT目標(biāo)。為了使數(shù)據(jù)包得到正確路由，必須在路由之前進(jìn)行DNAT。

路由：內(nèi)核檢查信息包的頭信息，尤其是信息包的目的地。

處理本地進(jìn)程產(chǎn)生的包：對nat表OUTPUT鏈中的規(guī)則實施規(guī)則檢查，對匹配的包執(zhí)行目標(biāo)動作。

SNAT：若包是被送往POSTROUTING鏈的，并且匹配了規(guī)則，則執(zhí)行SNAT或MASQUERADE目標(biāo)。系統(tǒng)在決定了數(shù)據(jù)包的路由之后才執(zhí)行該鏈中的規(guī)則。