3.4.4. Fazendo DNAT
-------------------
DNAT (Destination nat - nat no endereço de destino) consiste em
modificar o endereço de destino das máquinas clientes. O destination
nat é muito usado para fazer redirecionamento de pacotes, proxyes
transparentes e balanceamento de carga.
Toda operação de DNAT é feita no chain _PREROUTING_. As demais opções
e observações do SNAT são também válidas para DNAT (com exceção que
somente é permitido especificar a interface de origem no chain
PREROUTING).
# Modifica o endereço IP destino dos pacotes de 200.200.217.40 vindo da interface eth0
# para 192.168.1.2.
iptables -t nat -A PREROUTING -s 200.200.217.40 -i eth0 -j DNAT --to 192.168.1.2
Também é possível especificar faixas de endereços e portas que serão
substituídas no DNAT:
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT --to 200.200.217.40-200.200.217.50
Modifica o endereço IP de destino do tráfego vindos da interface
192.168.1.0/24 para um IP de 200.241.200.40 a 200.241.200.50. Este é
um excelente método para fazer o balanceamento de carga entre
servidores. O endereço IP selecionado é escolhido de acordo com o
último IP alocado.
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.0/24 -j DNAT --to 200.200.217.40-200.200.217.50:1024:5000
Idêntico ao anterior, mas faz somente substituições na faixa de portas
de destino de 1024 a 5000. A operação acima é a mesma realizada pelo
`ipmasqadm' dos kernels da série 2.2.
_OBS1:_ Se por algum motivo não for possível mapear uma conexão NAT,
ela será derrubada.
_OBS2:_ Não se esqueça de conferir se o `ip_forward' está ajustado
para `1': `echo "1" >/proc/sys/net/ipv4/ip_forward'.