1.1 添加規則

要實現這個任務，可以在A主機上使用以下命令：

sudo iptables -t nat -A PREROUTING -p tcp --dport ${P_A} -j DNAT --to-destination ${B}:${P_B}

這裡-t nat選項指定了要操作的表（table）。nat（network address translation）表用於網絡地址轉換，包括源地址轉換（SNAT）和目的地址轉換（DNAT）。-A是Append的縮寫，表示將一條規則添加到指定的鏈（chain）的末尾。PREROUTING是nat表中的一個鏈，用於處理進入（ingress）流量，在路由決策之前應用NAT規則。-p tcp這個選項指定了要匹配的協議類型，這裏是tcp，表示這條規則只適用於TCP協議的流量。--dport指定了要匹配的目的端口。-j是jump的縮寫，指定了匹配規則後的動作。DNAT表示目的地址轉換，即修改流量的目的IP地址。--to-destination選項指定了DNAT的目標地址和端口。

除了PREROUTING規則，你還需要添加一條命令處理POSTROUTING時的轉發：

sudo iptables -t nat -A POSTROUTING -p tcp -d ${B} --dport ${P_B} -j MASQUERADE

這裡MASQUERADE是一種特殊的NAT操作，用於動態地將出站流量的源地址替換爲出口接口的地址。這通常用於撥號或移動網絡，其中IP地址可能會變化。

這時，你就可以從第三個主機C嘗試訪問主機A上的P_A端口了。

假如不使用第三台機器，而是從主機A上訪問P_A端口，流量會無法轉發到B主機的P_B端口。這是因為來自主機A內部的連接不會經過PREROUTE規則。如果你想處理來自主機A內部的連接，可以增加一條命令：

sudo iptables -t nat -A OUTPUT -p tcp --dport ${P_A} -j DNAT --to-destination ${B}:${P_B}

這條命令應用於OUTPUT鏈，可以處理從主機A內部發起的連接。

1.2 羅列現有的NAT規則

可以用如下命令列出所有的NAT規則。

sudo iptables -t nat -L

1.3 刪除iptables的NAT規則

在羅列NAT規則時，我們可以讓iptables命令顯示每條規則的行號，然後用行號告訴iptables我們想刪除哪條規則：

sudo iptables --list -t nat -n --line-numbers

sudo iptables -t nat -D POSTROUTING 2  # ←刪除POSTROUTING鏈下的第二條規則

1.4 iptables規則的保存

用上面的命令設置的規則在機器重啟後將會丟失，你需要通過額外的命令將iptables的規則保存下來。

在Ubuntu 18.04 LTS系統上，可以用下面的命令保存iptables的規則：

sudo apt install iptables-persistant

執行該命令後，程序將詢問你是否保存規則。

後續你還可以通過使用sudo netfilter-persistent save命令，將iptables規則的更改保存下來。