To understand this command, try bre

Để hiểu lệnh này, cố gắng phá vỡ nó xuống mảnh bằng mảnh: t-nat chỉ thị cho chương trình làm việc trên bảng nat. Mặc dù chuyển tiếp cổng có thể được thực hiện trên máy tính mà don ' t chức năng như là bộ định tuyến NAT, nó sử dụng bảng nat. Mặc dù hầu hết NAT hoạt động xảy ra sau khi định tuyến trong hạt nhân, cổng chuyển tiếp xảy ra trước khi định tuyến, đó là lý do cho-A PREROUTING tùy chọn. Ví dụ cụ thể này chuyển tiếp cổng TCP (-p tcp); Tuy nhiên, chuyển tiếp cổng có thể được thực hiện trên các loại cổng. Các gói dữ liệu hướng dẫn tại eth0 (-tôi eth0) đang được chuyển tiếp. Nếu máy tính này đã là cùng một confi gured trong "Bật tính năng NAT", quy tắc này sẽ chuyển hướng traffi c hướng vào giao diện của bộ định tuyến NAT bên ngoài. Cổng đạo diễn tại port 22 (-dport 22), SSH port, sẽ được chuyển hướng. -J DTA tùy chọn cho hạt nhân để thực hiện NAT trên các điểm đến (DTA) chứ không phải là địa chỉ nguồn (SNAT). Các hoạt động NAT là sau đó bị giới hạn theo quy định khác. Các - đến - điểm đến tùy chọn specifi es nơi gói đáp ứng các tiêu chí khác chuyển hướng-trong trường hợp này, để cổng 22 trên 192.168.107.64. Hiệu ứng ròng của ví dụ này là bất kỳ cố gắng để đạt được các bộ định tuyến NAT bởi SSH từ sẽ địa chỉ bên ngoài của nó thay vì tiếp cận của 192.168.107.64 SSH cổng. Bạn có thể viết một số các quy tắc như vậy, có hiệu quả cho phép máy tính nội bộ như nhiều như bạn muốn hoạt động như các máy chủ trên Internet tại lớn. Một trong những hạn chế quan trọng, Tuy nhiên, là rằng bạn vẫn có thể có chỉ có một máy chủ trên mỗi cổng bên ngoài. (Công cụ chuyên sâu tải cân bằng có thể cung cấp một số cứu trợ từ sự hạn chế này nhưng vượt ra ngoài phạm vi của cuốn sách này.) Nếu bạn muốn truy cập vào, nói, máy tính khác nhau hai máy chủ SSH, bạn phải chuyển dữ liệu cho một từ một phòng không - số hiệu cổng ngoài tiêu chuẩn.

Để hiểu được lệnh này, cố gắng phá vỡ nó xuống từng mảnh: The - t chỉ thị nat cho chương trình để làm việc trên các bảng nat. Mặc dù cổng chuyển tiếp có thể được thực hiện trên máy tính mà don 't có chức năng như bộ định tuyến NAT, nó sử dụng các bảng nat. Mặc dù hầu hết các hoạt động NAT xảy ra sau khi định tuyến trong hạt nhân, cổng chuyển tiếp xảy ra trước khi định tuyến, đó là lý do cho - Một lựa chọn PREROUTING. Ví dụ cụ thể này chuyển tiếp một cổng TCP (- p tcp); Tuy nhiên, cổng chuyển tiếp có thể được thực hiện trên các loại cổng khác. Gói hướng vào eth0 (- i eth0) sẽ được chuyển tiếp. Nếu máy tính này là giống nhau fi một con gured trong "Việc kích hoạt tính năng NAT," quy tắc này sẽ chuyển hướng traf fi c hướng vào giao diện bên ngoài của router NAT. Cổng hướng vào cổng 22 (- - dport 22), các cổng SSH, sẽ được chuyển hướng. Tùy chọn - j DNAT nói với các hạt nhân để thực hiện NAT trên đích (DNAT) chứ không phải là nguồn (SNAT) địa chỉ. Các hoạt động NAT sau đó được giới hạn theo các quy tắc khác. The - - tới - điểm đến tùy chọn es fi Speci nơi các gói tin đáp ứng các tiêu chí khác là để được chuyển hướng - trong trường hợp này, đến cổng 22 trên 192.168.107.64. Hiệu ứng ròng của ví dụ này là bất kỳ nỗ lực để đến được router NAT bởi SSH từ địa chỉ bên ngoài của nó thay vào đó sẽ đạt cổng SSH 192.168.107.64 's. Bạn có thể viết một số quy định như vậy, cho phép hiệu quả như nhiều máy tính nội bộ như bạn muốn có chức năng như các máy chủ trên Internet nói chung. Một hạn chế quan trọng, tuy nhiên, là bạn vẫn có thể chỉ có một máy chủ trên mỗi cổng bên ngoài. (Công cụ cân bằng tải nâng cao có thể giúp giảm một số hạn chế này nhưng nằm ngoài phạm vi của cuốn sách này.) Nếu bạn cần truy cập, ví dụ, máy chủ SSH hai máy tính khác nhau ', bạn phải gửi dữ liệu cho một từ một phi - cổng ngoài tiêu chuẩn số.