Red Hat Training

A Red Hat training course is available for RHEL 8

7.4.2. 使用 nftables 配置伪装

伪装使路由器动态地更改通过接口到接口 IP 地址发送的数据包的源 IP。这意味着，如果接口被分配了新的 IP，nftables 会在替换源 IP 时自动使用新的 IP。

以下流程描述了如何将通过 ens3 接口离开主机的数据包源 IP 替换为 ens3 上设置的 IP。

流程

创建一个表：
```
# nft add table nat
```
在表中添加 prerouting 和 postrouting 链：
```
# nft -- add chain nat prerouting { type nat hook prerouting priority -100 \; }
# nft add chain nat postrouting { type nat hook postrouting priority 100 \; }
```
重要
即使您没有向抢占链添加规则，nf tables 框架也要求此链与传入数据包回复匹配。
请注意，您必须将 -- 选项传递给 nft 命令，以避免 shell 将负优先级值解析为 nft 命令的选项。
在 postrouting 链中添加与 ens3 接口上的传出数据包匹配的规则：
```
# nft add rule nat postrouting oifname "ens3" masquerade
```