ネットワーク・アドレス変換(NAT)では、様々なアドレス・スキームがあるプライベート・ネットワーク内のコンピュータまたはコンピュータのグループに、パブリック・アドレスが割り当てられます。 パブリックIPアドレスによって、すべてのリクエストが複数のサーバーではなく1つのサーバーに送信されるようにマスカレードされます。 NATは、組織で調達する必要があるパブリックIPアドレスの数を制限し、内部ネットワークの詳細を非表示にすることによって特別なセキュリティを提供するために有益です。

netfilterカーネル・サブシステムでは、パケット・フィルタリング用の表に加えて、NATを実装するnatが提供されます。 カーネルでは、新しい受信または送信接続を作成するパケットを処理するたびに、nat表が参照されます。

# echo 1 > /proc/sys/net/ipv4/ip_forward

NAT表には、次の組込みルール・チェーンが含まれています。

NAT表には、ルール・チェーンで使用できる次のターゲットがあります。

次の例は、NATがPREROUTINGチェーンを使用して、eth0インタフェース上の受信HTTPリクエストを、専用HTTPサーバー192.168.1.100のポート8080に転送することを指定しています。 ルールによって、パケットの宛先アドレスとポートが変更されます。

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \
  -j DNAT --to 192.168.1.100:8080

次の例は、プライベートIPアドレスがあるLAN上のノードが外部パブリック・ネットワークと通信できるようにします。

# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

このルールは、内部システムからのリクエストが、ファイアウォールの外部のインタフェース(eth1)のIPアドレスから送信されたようにします。

ファイアウォール構成GUI (system-config-firewall)を使用して、単純なマスカレードおよびポート転送を構成することもできます。

詳細は、iptables(8)マニュアル・ページを参照してください。