iptables除了最常用的filter表外，偶尔也会用到nat表。nat即网络地址转换，它是用来修改源ip地址或目的ip地址的。现在我们看下简单的数据包通过iptables到后端主机的表格与链的流程。
1.经过nat表的prerouting链
2.经过路由判断该数据包是否要进入本机，若不进入，则执行下一步操作
3.经过filter的forward链
4.经过nat表的postrouting链，最后传送出去
和nat相关的是第一步和最后一步，也就是prerouting链和postrouting链。
prerouting链修改的是目的ip，简称dnat
postrouting链修改的是源ip,简称snat
dnat
那么哪些场景需要用到dnat，对于snat常见的应用有哪些呢？对于dnat，最常见的是将内网的端口映射到外网中，让其他用户可以访问。这样做内网的安全性大大提升，因为外网是不能直接和内网进行数据传输的。
场景：内网有一台主机a（192.168.1.111）上面架设了一个网站，内网中还有一台主机b（192.168.1.2）具有公网ip（39.100.92.12)，那么如何让外网的用户访问到a上面的网站。
这个时候，就需要对b主机上做dnat操作，让目的地址从公网ip39.100.92.12修改为内网地址192.168.1.111。操作如下：
# iptables -t nat -a prerouting -i eth0 -p tcp --dport 80 \> -j dnat --to-destination 192.168.1.111:80
prerouting链中除了能够对ip做修改，还能对端口进行修改。比如将80端口映射为8080端口，但操作名已经不叫dnat，而是redirect。
# iptables -t nat -a prerouting -i eth0 -p tcp --dport 80 \> -j redirect --to-ports 8080
snat
对于snat，我们最常见的应用是内网机器通过代理服务器上网，内网的主机没有公网ip，那么内网的主机数据包通过代理服务器后，代理服务器就需要将该数据包的源地址修改为该代理服务器的公网ip。
场景：内网有一台主机a（192.168.1.111），内网中还有一台主机b（192.168.1.2）具有公网ip（39.100.92.12)，那么对于主机a怎么操作可以连接到公网。
# iptables -t nat -a postrouting -o eth0 -s 192.168.1.0/24 \> -j snat --to-source 39.100.92.12
对于dnat以及snat的操作不是很复杂，主要是要理解dnat以及snat的应用场景，刚开始学的时候容易弄混淆，希望大家能主要到它们的区别。
相关推荐：《linux视频教程》
以上就是linux下的软件防火墙iptables——nat表规则的设定的详细内容。