[问题求助]iptables里MASQUERADE一问 [复制链接]

linux服务器用.ADSL拨号，要做NAT，.如果用DNAT和SNAT方式，好象应该是两句(DNAT、SNAT)都要有，    美容

如果用 MAS.QUERADE ，.是不是只要一句就行了？             电子
比如 iptables -t nat -A POS.TROUTING -o ppp0 -s 192.168.0.0./24 -j MASQUERADE学习
这.样内外网互相访问是不是就行了？健康

两种方式效果一样吗？如果内网有WE.B等服务器，也.有一般上网的用户机。--------------彩票

MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。
SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：

--to-source <ipaddr>;[-<ipaddr>;][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。

http://bbs.chinaunix.net/forum/viewtopic.php?t=596645

如果我没有静态公网IP，用MASQUERADE可以让内网用户上网，

但内网还有一个WEB服务器要对外开放，这时只用一个MASQUERADE是不是就不够了(因为MASQUERADE类似于SNAT)？
是不是另外还要再设置一句DNAT，才能把来自外网的访问送到内网的WEB服务器那里。

明白了，应该都有：
iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to-destination 192.168.1.77
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE