Linux如何查看NAT映射规则？常用命令及操作方法有哪些？

在Linux系统中，NAT（网络地址转换）是一种广泛使用的技术，主要用于实现内网主机通过单一公网IP访问互联网，或隐藏内网结构，查看NAT映射关系是网络管理和故障排查中的常见需求，本文将详细介绍Linux系统中查看NAT映射的多种方法，包括通过iptables、conntrack、ss、netstat等工具实现,并结合实际命令示例和输出解读帮助读者理解。

理解NAT映射的基本概念

NAT映射分为源NAT（SNAT）和目标NAT（DNAT），SNAT修改数据包的源IP地址（通常将内网IP转换为公网IP），DNAT修改数据包的目标IP地址（通常将公网IP映射到内网服务器），查看NAT映射的核心是确认“原始地址”与“转换后地址”的对应关系，以及连接状态，在Linux中，NAT规则由iptables或nftables管理，而实际的连接映射记录在内核的连接跟踪表（conntrack table）中。

使用iptables查看NAT规则

iptables是Linux传统的防火墙和NAT管理工具，通过查看NAT表的规则可以了解已配置的NAT映射策略，NAT表包含三个链：PREROUTING（修改进入本机的数据包目标地址）、POSTROUTING（修改离开本机的数据包源地址）、OUTPUT（修改本机发出的数据包目标地址）。

基本命令格式

iptables -t nat -L [链名] -n -v --line-numbers

参数说明：

• -t nat：指定操作NAT表；
• -L：列出规则；
• [链名]：可选，指定PREROUTING、POSTROUTING或OUTPUT；
• -n：以数字形式显示IP和端口,避免域名解析延迟；
• -v：显示详细信息（如包计数、字节计数）；
• --line-numbers：显示规则序号,方便定位。

示例与输出解读

1. 查看DNAT规则（PREROUTING链）
   假设配置了将公网端口8080映射到内网192.168.1.100的80端口：

   iptables -t nat -L PREROUTING -n -v --line-numbers

   输出示例：

   NUM   TARGET     PROTO   SOURCE         DESTINATION
   1     DNAT       tcp     0.0.0.0/0      0.0.0.0/0       tcp dpt:8080 to:192.168.1.100:80

   • TARGET为DNAT表示目标地址转换；
   • dpt:8080表示目标端口为8080；
   • to:192.168.1.100:80表示转换为内网IP和端口。

2. 查看SNAT规则（POSTROUTING链）
   假设配置了将内网网段192.168.1.0/24的源IP转换为公网203.0.113.10：

   iptables -t nat -L POSTROUTING -n -v --line-numbers

   输出示例：

   NUM   TARGET     PROTO   SOURCE         DESTINATION
   1     SNAT       tcp     192.168.1.0/24 0.0.0.0/0       to:203.0.113.10

   • TARGET为SNAT表示源地址转换；
   • to:203.0.113.10表示转换为公网IP。

注意：iptables仅显示配置的规则，不反映当前活动的连接映射，若需查看实际生效的映射，需结合连接跟踪工具（如conntrack）。

使用conntrack查看实际NAT映射

conntrack是Linux内核连接跟踪工具，可直接查看当前活动的NAT映射关系，包括原始地址、转换后地址、协议、端口、连接状态等信息。

基本命令格式

conntrack -L [选项]

常用选项：

• -n：以数字形式显示IP和端口；
• -d：显示详细信息（包括连接超时时间）；
• --proto：指定协议（如tcp、udp）；
• --src/--dst：过滤源/目标IP。

示例与输出解读

1. 查看所有NAT映射

   conntrack -L --nat -n

   输出示例（SNAT映射）：

   ipv4     2 tcp      6 ESTABLISHED src=192.168.1.100 dst=8.8.8.8 sport=52343 dport=53 src=203.0.113.10 dst=8.8.8.8 sport=52343 dport=53 [UNREPLIED] src=8.8.8.8 dst=203.0.113.10 sport=53 dport=52343 mark=0 use=2

   • src=192.168.1.100 dst=8.8.8.8：原始内网IP访问公网IP；
   • src=203.0.113.10 dst=8.8.8.8：SNAT转换后的源IP（公网IP）；
   • [UNREPLIED]：表示未收到响应包（此处为DNS查询，53端口为服务端口）。

   输出示例（DNAT映射）：

   ipv4     2 tcp      6 ESTABLISHED src=10.0.0.5 dst=203.0.113.10 sport=12345 dport=8080 src=10.0.0.5 dst=192.168.1.100 sport=12345 dport=80 [ASSURED] mark=0 use=2

   • dst=203.0.113.10 dport=8080：公网IP和端口（访问目标）；
   • dst=192.168.1.100 dport=80：DNAT转换后的内网IP和端口。

2. 过滤特定IP的NAT映射
   查看内网IP 192.168.1.100的SNAT映射：

   conntrack -L --src 192.168.1.100 -n

关键点：conntrack显示的是内核中实时活动的连接映射，比iptables规则更贴近实际流量状态,适合排查连接问题。

使用ss和netstat查看NAT连接状态

ss和netstat是Linux中查看网络连接的工具，虽不直接显示NAT映射，但可通过连接的源/目标地址推断NAT转换结果。

使用ss（推荐，性能更优）

ss -tunap | grep ':8080|:80'

参数说明：

• -t：TCP连接；
• -u：UDP连接；
• -n：数字形式；
• -a：显示所有连接；
• -p：显示进程ID和名称。

输出示例（DNAT映射后的连接）：

LISTEN 0      511          203.0.113.10:8080      0.0.0.0:*    users:(("nginx",pid=1234,fd=6))
ESTAB  0      0      10.0.0.5:12345       192.168.1.100:80

• 0.113.10:8080：公网监听端口（DNAT入口）；
• 0.0.5:12345：客户端IP，通过NAT连接到内网168.1.100:80。

使用netstat（传统工具）

netstat -tunap | grep ':8080'

输出格式与ss类似,但ss在处理大量连接时效率更高。

使用nftables查看NAT规则（新系统推荐）

nftables是iptables的替代品，在Linux内核3.10+版本中逐渐成为默认工具，语法更简洁,支持更复杂的规则匹配。

基本命令格式

nft list ruleset
# 或指定表和链
nft list chain ip nat prerouting

示例与输出解读

查看NAT规则：

nft list ruleset

输出示例：

table ip nat {
   chain prerouting {
       type nat hook prerouting priority dstnat; policy accept;
       tcp dport 8080 dnat to 192.168.1.100:80
   }
   chain postrouting {
       type nat hook postrouting priority srcnat; policy accept;
       ip saddr 192.168.1.0/24 masquerade
   }
}

• dnat to 192.168.1.100:80：DNAT规则,将8080端口映射到内网80端口；
• masquerade：SNAT规则，自动将内网IP转换为出口接口IP（类似iptables的MASQUERADE）。

工具对比与适用场景

为方便选择工具,以下是不同方法的对比：

相关问答FAQs

问题1：为什么iptables显示的NAT规则存在，但实际无法访问映射后的服务？
解答：可能原因包括：

1. 防火墙拦截：检查INPUT/FORWARD链是否允许目标端口流量（如iptables -L INPUT -n）；
2. 路由问题：确认内网服务器路由可达，网关配置正确；
3. 服务未启动：目标服务器上对应端口服务未运行（如ss -tuln | grep 80）；
4. 连接跟踪超时：若连接长时间未活跃，conntrack记录可能已过期，可通过conntrack -F清空后重试。

问题2：如何快速定位特定内网IP的SNAT出口IP？
解答：使用conntrack结合grep过滤原始内网IP，提取转换后的源IP：

conntrack -L --src 192.168.1.100 -n | grep "src=192.168.1.100" | awk '{print $8}' | cut -d'=' -f2 | head -1

命令说明：

• conntrack -L --src 192.168.1.100：查看192.168.1.100的连接；
• grep "src=192.168.1.100"：过滤原始源IP；
• awk '{print $8}'：提取转换后的源IP字段（字段位置可能因系统略有差异，可通过conntrack -d查看详细结构）；
• cut -d'=' -f2：以等号分割，取后半部分IP地址。

通过以上方法，可全面掌握Linux系统中NAT映射的查看技巧，无论是配置验证还是故障排查，都能快速定位问题，实际应用中建议结合多种工具，综合分析规则配置与连接状态,确保NAT功能正常工作。