Theo mình đọc trong tài liệu http://www.acsu.buffalo.edu/~dudek/linux/iptables/img8.html thì nó bảo table NAT gồm 3 chain là PREROUTING, POSTROUTING và OUTPUT còn theo tài liệu trung tâm mình đang học thì nói là table NAT gồm 3 chain : DNAT, SNAT, MASQUERADE

Vậy cái nào là đúng nhỉ ? Ai bít thì giải thích giúp mình )

Cám ơn
Thân 

SNAT, DNAT và Masquerade thì em bít rồi ạ. Khi có gói liệu với IP nguồn là 1 Private IP đến router, router sẽ đổi IP nguồn thành Public IP sau đó mới gởi ra ngoài. Quá trình này gọi là SNAT (Source-NAT, NAT nguồn). Ngược lại, khi có một gói từ liệu từ gởi từ ngoài vào với IP đích là Public IP, router sẽ căn cứ vào bảng NAT động hiện tại để đổi địa chỉ đích Public IP này thành địa chỉ đích mới là Private IP. Quá trình này gọi là DNAT.
 

Còn Masquerade là khái niệm khi ta có duy nhất 1 Public IP mà lại có nhiều Private IP muốn ra ngoài thì ta phải dùng Masquerade, tất cả các máy nội bộ đều dùng chung 1 Public IP đó tuy nhiên trong bảng NAT động sẽ "gán" cho mỗi máy nội bộ này 1 port riêng tương ứng để khi quay về, router nhìn vào port này trong bảng NAT động này mà bít gói tin đó sẽ được đưa đến máy nào
 

Em chỉ thắc mắc là NAT nó nằm trong những chain nào ? (tức là sẽ khi xử lý ở những công đoạn nào). VD như đối với table FILTER thì sẽ nằm trong chain INPUT (công đoạn khi packet đi vào máy), FORWARD (công đoạn khi packet được chuyển tiếp) và OUTPUT (công đoạn khi packet đi ra khỏi máy)

Thân 

Thanx anh, em đã hiểu. Mà tại sao anh lại nói MAS phù hợp cho dynamic public IP nhỉ? em nghĩ nó phù hợp cho những ai có 1 Public IP mà lại có nhiều máy muốn "đi ra ngoài" chứ, sao lại liên quan đến việc dynamic hay ko dynamic nhỉ ? )
 

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4

À, sãn anh cho em hỏi thêm là khi xem State Table trong /proc/net/ip_conntrack , có các connection ở tình trạng ETABLISHED, nhưng em thắc mắc là 1 connection bắt đâu chuyển sang ESTABLISHED ngay sau khi client nhận được SYN/ACK (tức là bước thứ 2 trong quá trình bắt tay) hay là sau khi thực hiện đầu đủ 3 bước của quá trình bắt tay nhỉ ? 

Hihi, nếu anh ko ngại thì cho em hỏi 1 câu cuối luôn : Theo em học thì "các connection sau khi ESTABLISHED thì nó sẽ được mark là ASSURED để ko bị xoá đi trong bảng connection tracking khi bảng connection tracking đạt đến giá trị lớn nhất và refresh lại". Cái này thì em hiểu, nhưng em ko hiểu câu sau của nó là : "1 TCP Connection có thể ở trạng thái ESTABLISHED nhưng ko được mark ASSURED. Trường hợp này xảy ra nếu ta dùng tcp-window-tracking patch và ip_conntrack_tcp_loose >=1"

Vậy tóm lại 1 connection khi nào thì được mark ASSURED và khi nào thì ko được mark ASSURED ? Và Iptables dựa vào đặc điểm nào của connection để quyết định có mark ASSURED cho connection đó hay ko ?

Hy vọng được anh giải đáp, hỏi nhiều wá nên em hơi ngại nhưng mấy cái này thực sự làm em thắc mắc trong quá trình học cũng như đọc tài liệu -))  

- Sau khi connection đã ESTABLISHED, không có gì bảo đảm là nó được ASSURED ngoại trừ:

a. Cho TCP: server (phía netfilter) phải nhận được gói ACK có giá trị từ đầu bên kia (đúng sequence, thuộc về ESTABLISHED connection).  

- Sau khi connection đã ESTABLISHED, không có gì bảo đảm là nó được ASSURED ngoại trừ:

a. Cho TCP: server (phía netfilter) phải nhận được gói ACK có giá trị từ đầu bên kia (đúng sequence, thuộc về ESTABLISHED connection).  

ACK đúng seq number (phía server phải nhận) mà anh nói là ACK của packet đầu tiên sau quá trình bắt tay 3 bước (tức là packet thứ 4 trong 1 TCP stream) phải ko anh ?

Và nếu theo anh nói vậy thì tất cả các connection hợp lệ đều sẽ được mark ASSURED, còn các connection "bất thường" từ TCP Scan của nmap, hay SYN DoS ... thì sẽ ko được mark ASSURED đúng ko anh ? 

Hì, giải thích của anh rất rõ ràng, nhưng còn 1 ý ở trên em hỏi ở trên đó là như vậy có phải tất cả các connection hợp lệ đều sẽ được mark ASSURED, còn các connection "bất thường" từ TCP Scan của nmap, hay SYN DoS ... thì sẽ ko được mark ASSURED (do nó chỉ gởi SYN đi) đúng ko anh ?