基于Ubuntu网关配置：NAT实战指南

一、NAT技术基础与Ubuntu适配性

NAT（Network Address Translation，网络地址转换）作为解决IPv4地址短缺的核心技术，通过修改数据包源/目的IP实现内网与外网的通信隔离。在Ubuntu系统中，iptables/nftables框架提供了灵活的NAT规则配置能力，结合其稳定的内核与丰富的网络工具包，成为构建企业级网关的理想选择。

1.1 NAT工作原理详解

• SNAT（源地址转换）：修改出站数据包的源IP，将内网私有IP（如192.168.x.x）替换为网关公网IP，实现内网主机访问互联网。
• DNAT（目的地址转换）：修改入站数据包的目的IP，将公网请求转发至内网服务器（如端口映射80→192.168.1.100:80）。
• MASQUERADE动态适配：针对动态公网IP场景，自动获取出口网卡IP进行SNAT，避免硬编码IP导致的规则失效。

1.2 Ubuntu的NAT配置优势

• 内核支持：Linux内核从2.4版本开始集成完整的NAT模块，Ubuntu LTS版本提供长期维护。
• 工具链完善：iptables（经典）、nftables（现代）、ufw（简易前端）三重选择，满足不同复杂度需求。
• 云环境兼容：适配AWS/Azure等云平台的弹性网卡与虚拟路由场景。

二、Ubuntu NAT网关配置全流程

2.1 基础环境准备

1. 系统要求：Ubuntu 20.04/22.04 LTS（推荐），双网卡配置（内网eth0/外网eth1）。

2. 依赖安装：

   sudo apt update
   sudo apt install iptables net-tools -y  # 基础工具
   # 或使用nftables（Ubuntu 22.04+默认）
   sudo apt install nftables

3. 网络接口检查：

   ip addr show  # 确认eth0/eth1的IP分配
   ping 8.8.8.8 -I eth1  # 测试外网连通性

2.2 启用IP转发功能

修改内核参数永久生效：

echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p  # 立即生效

2.3 配置SNAT实现内网访问外网

场景：内网主机（192.168.1.0/24）通过Ubuntu网关（eth1:203.0.113.1）访问互联网。

方法一：使用iptables

sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
sudo iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
sudo iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

方法二：使用nftables（Ubuntu 22.04+）

sudo nft add table nat
sudo nft add chain nat POSTROUTING { type nat hook postrouting priority 100 \; }
sudo nft add rule nat POSTROUTING oif eth1 masquerade
sudo nft add table filter
sudo nft add chain filter FORWARD { type filter hook forward priority 0 \; }
sudo nft add rule filter FORWARD iif eth0 oif eth1 accept
sudo nft add rule filter FORWARD iif eth1 oif eth0 ct state related,established accept

2.4 配置DNAT实现端口转发

场景：将公网80端口请求转发至内网Web服务器（192.168.1.100:80）。

iptables实现

sudo iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100:80
sudo iptables -A FORWARD -i eth1 -o eth0 -p tcp --dport 80 -d 192.168.1.100 -j ACCEPT

nftables实现

sudo nft add rule nat PREROUTING iif eth1 tcp dport 80 dnat to 192.168.1.100:80
sudo nft add rule filter FORWARD iif eth1 oif eth0 tcp dport 80 accept

2.5 规则持久化

• iptables：安装iptables-persistent

  sudo apt install iptables-persistent
  sudo netfilter-persistent save

• nftables：手动保存至文件并加载

  sudo nft list ruleset > /etc/nftables.conf
  # 在/etc/network/interfaces或systemd服务中添加启动时加载

三、高级配置与优化

3.1 多网段NAT配置

场景：同时处理192.168.1.0/24与10.0.0.0/24网段的SNAT。

sudo iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE
sudo iptables -t nat -A POSTROUTING -o eth1 -s 10.0.0.0/24 -j MASQUERADE

3.2 带宽限制与QoS

使用tc（Traffic Control）限制内网用户带宽：

# 限制eth0出口带宽为10Mbps
sudo tc qdisc add dev eth0 root handle 1: htb default 12
sudo tc class add dev eth0 parent 1: classid 1:1 htb rate 10mbit
sudo tc filter add dev eth0 protocol ip parent 1:0 prio 1 u32

3.3 日志记录与监控

启用NAT日志：

sudo iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE --log-prefix "NAT_OUT: "
# 查看日志
sudo tail -f /var/log/syslog | grep NAT_OUT

四、故障排查与常见问题

4.1 常见问题列表

问题现象	可能原因	解决方案
内网无法访问外网	IP转发未启用	执行sysctl -w net.ipv4.ip_forward=1
SNAT不生效	规则顺序错误	确保POSTROUTING链在最后
DNAT后无法连接	FORWARD链未放行	添加-j ACCEPT规则
规则重启后丢失	未持久化	使用iptables-persistent或手动保存

4.2 诊断工具

• 连接跟踪检查：

  sudo conntrack -L  # 查看活动连接
  sudo conntrack -D -p tcp --dport 80  # 删除特定连接

• 数据包抓取：

  sudo tcpdump -i eth1 -n host 8.8.8.8  # 抓取外网通信

五、安全加固建议

1. 限制访问源：仅允许特定内网IP访问外网

   sudo iptables -A FORWARD -i eth0 -s 192.168.1.50 -o eth1 -j ACCEPT
   sudo iptables -A FORWARD -i eth0 -o eth1 -j DROP

2. 防DDoS保护：限制每秒新连接数

   sudo iptables -A FORWARD -i eth1 -p tcp --syn -m connlimit --connlimit-above 20 -j DROP

3. 定期更新规则：通过cron任务每周清理过期规则

   # 添加至/etc/cron.weekly/clean_iptables
   #!/bin/bash
   sudo iptables -F FORWARD
   sudo iptables -F INPUT
   sudo iptables -F OUTPUT
   # 重新加载基础规则

六、总结与扩展

Ubuntu的NAT配置通过iptables/nftables提供了高度灵活的网络地址转换能力，适用于中小企业网关、云服务器NAT实例等多种场景。建议结合ufw简化日常管理，或使用Ansible实现批量配置。后续可深入探讨：

• 基于Ubuntu的VPN+NAT混合网关
• 使用Keepalived实现NAT高可用
• 结合WireGuard构建安全内网穿透方案

通过系统化的配置与监控，Ubuntu NAT网关可稳定承载数百台设备的互联网访问需求，成为低成本网络解决方案的首选。