2.1 添加规则

要实现这个任务，可以在A主机上使用以下命令：

sudo iptables -t nat -A PREROUTING -p tcp --dport ${P_A} -j DNAT --to-destination ${B}:${P_B}

这里-t nat选项指定了要操作的表（table）。nat（network address translation）表用于网络地址转换，包括源地址转换（SNAT）和目的地址转换（DNAT）。-A是Append的缩写，表示将一条规则添加到指定的链（chain）的末尾。PREROUTING是nat表中的一个链，用于处理进入（ingress）流量，在路由决策之前应用NAT规则。-p tcp这个选项指定了要匹配的协议类型，这里是tcp，表示这条规则只适用于TCP协议的流量。--dport指定了要匹配的目的端口。-j是jump的缩写，指定了匹配规则后的动作。DNAT表示目的地址转换，即修改流量的目的IP地址。--to-destination选项指定了DNAT的目标地址和端口。

除了PREROUTING规则，你还需要添加一条命令处理POSTROUTING时的转发：

sudo iptables -t nat -A POSTROUTING -p tcp -d ${B} --dport ${P_B} -j MASQUERADE

这里MASQUERADE是一种特殊的NAT操作，用于动态地将出站流量的源地址替换为出口接口的地址。这通常用于拨号或移动网络，其中IP地址可能会变化。

这时，你就可以从第三个主机C尝试访问主机A上的P_A端口了。

假如不使用第三台机器，而是从主机A上访问P_A端口，流量会无法转发到B主机的P_B端口。这是因为来自主机A内部的连接不会经过PREROUTE规则。如果你想处理来自主机A内部的连接，可以增加一条命令：

sudo iptables -t nat -A OUTPUT -p tcp --dport ${P_A} -j DNAT --to-destination ${B}:${P_B}

这条命令应用于OUTPUT链，可以处理从主机A内部发起的连接。

2.2 罗列现有的NAT规则

可以用如下命令列出所有的NAT规则。

sudo iptables -t nat -L

2.3 删除iptables的NAT规则

在罗列NAT规则时，我们可以让iptables命令显示每条规则的行号，然后用行号告诉iptables我们想删除哪条规则：

sudo iptables --list -t nat -n --line-numbers

sudo iptables -t nat -D POSTROUTING 2  # ←删除POSTROUTING链下的第二条规则

2.4 iptables规则的保存

用上面的命令设置的规则在机器重启后将会丢失，你需要通过额外的命令将iptables的规则保存下来。

在Ubuntu 18.04 LTS系统上，可以用下面的命令保存iptables的规则：

sudo apt install iptables-persistent

执行该命令后，程序将询问你是否保存规则。

后续你还可以通过使用sudo netfilter-persistent save命令，将iptables规则的更改保存下来。