Linux网络NAT故障排除（手把手教你排查与修复常见NAT问题）

常见 NAT 故障现象

• 内网主机可以 ping 通网关，但无法访问互联网
• 外网无法访问内网的服务（如 Web 服务器）
• 能访问部分网站，但某些连接超时
• 重启后 NAT 规则失效

第一步：确认内核已启用 IP 转发

Linux 默认不转发数据包。要启用 NAT，必须开启 IP 转发功能。

临时开启（重启后失效）：

echo 1 > /proc/sys/net/ipv4/ip_forward

永久开启（编辑配置文件）：

sudo nano /etc/sysctl.conf# 在文件末尾添加或取消注释以下行：net.ipv4.ip_forward = 1# 然后运行：sudo sysctl -p

第二步：检查 iptables NAT 规则

使用以下命令查看当前的 NAT 规则：

sudo iptables -t nat -L -n -v

正常情况下，你应该看到类似下面的规则（假设你的外网接口是 eth0）：

Chain POSTROUTING (policy ACCEPT)target     prot opt source               destinationMASQUERADE all  --  192.168.1.0/24      0.0.0.0/0

如果没有看到 MASQUERADE 或 SNAT 规则，说明 NAT 规则未正确设置。

第三步：添加正确的 NAT 规则

假设你的内网网段是 192.168.1.0/24，外网接口是 eth0，执行以下命令：

sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

这条规则的意思是：所有来自 192.168.1.0/24 网段、通过 eth0 接口出去的数据包，都进行源地址伪装（MASQUERADE）。

第四步：检查防火墙 INPUT/FORWARD 链

即使 NAT 规则正确，如果 FORWARD 链拒绝了转发流量，内网也无法上网。确保 FORWARD 链允许相关流量：

sudo iptables -A FORWARD -i eth2 -o eth0 -j ACCEPTsudo iptables -A FORWARD -i eth0 -o eth2 -m state --state RELATED,ESTABLISHED -j ACCEPT

其中 eth2 是内网接口，eth0 是外网接口。这是典型的 防火墙规则调试 步骤。

第五步：保存规则防止重启丢失

不同发行版保存 iptables 规则的方式不同：

Ubuntu/Debian：

sudo apt install iptables-persistentsudo netfilter-persistent save

CentOS/RHEL：

sudo service iptables save

第六步：测试与验证

从内网主机尝试访问外网：

ping 8.8.8.8wget https://www.baidu.com

如果仍失败，请使用 tcpdump 抓包分析：

sudo tcpdump -i eth0 host 8.8.8.8

总结

通过以上步骤，你可以系统性地排查 Linux NAT 故障排除 中的常见问题。关键点包括：启用 IP 转发、配置正确的 MASQUERADE 规则、放行 FORWARD 链、以及持久化规则。掌握这些技巧后，你就能自信地处理大多数 NAT 配置错误 和 防火墙规则调试 场景。

记住：耐心 + 日志 + 抓包 = 成功排错！