iptables 网址转译 (Network Address Translation，NAT)

当封包流经NAT電腦時，其位址/通訊端口會被修改，以達到改变包目的地(或旅程)，或是让目的地误以为包是源自NAT电脑的效果。換言之，对封包执行NAT的电脑，可以成为新包的来源或目的地，或是成为真正来源与目的地之间的中继站。

*****************************

警告：
NAT需要连线追踪的能力，而连线追踪又需要电脑能看到所有包才有效，所以，如果你的防火墙是有多台电脑构行，请小心避免破坏连线追踪。

*****************************

利用NAT的位址/通讯埠操弄能力，可以执行许多有用的应用。为此，iptables內建一个nat表格，专用於设置各种涉及NAT操作的规则。

对於大多数协定，NAT可直接修改包的(来源/目的地)位址/通讯埠．而不必理会包的承戴內容为何。不过，某些恊定需要通讯双方在执行期才恊商位址或通讯端口(FTP恊定的资讯连線就是一例)，換言之，这类恊定的承载內容里，含有影响后续相关连線的位址或通讯端口资讯。要让这类协定的封包能顺利通过NAT閘道，iptables势必需要能分析各種恊定封包的能力，否则，通讯双方将因为不知道NAT的存在．而交換了错误的位址(或通讯端口)资讯．造成协定失效。

很显然地，iptables不可能知道每一种承载内容含有位址资讯的协定，为此，iptables的NAT
逻辑容许你使用外挂模组，以协助处理需要交换位址资讯的协定之封包，你可用modprobe命令来将特定的辅助模组载入核心。《表13》列出了常用的 NAT辅助模组。