iptables防火墙(二).docx

SNAT策略概述SNAT策略的典型应用环境局域网主机共享单个公网IP地址接入InternetSNAT策略的原理源地址转换，Source Network Address Translation修改数据包的源地址SNAT的典型应用环境局域网共享上网SNAT策略的工作原理未作SNAT转换时的情况进行SNAT转换后的情况SNAT策略的应用局域网共享上网前提条件局域网各主机正确设置IP地址/子网掩码局域网各主机正确设置默认网关地址Linux网关支持IP路由转发实现方法编写SNAT转换规则[root@localhost ~]# iptables -t nat -A POSTROUTING#路由选择后再处理 -s /24#局域网段的地址 -o eth0#外网接口的名称 -j SNAT --to-source 1#外网接口的IP地址验证SNAT结果在局域网主机34 中能够访问外网的Web服务器5查看Web主机5 的访问日志，记录的来访者应是网关主机的外网IP地址1共享动态IP地址上网MASQUERADE —— 地址伪装适用于外网IP地址非固定的情况对于ADSL拨号连接，接口通常为ppp0、ppp1将SNAT规则改为MASQUERADE即可[root@localhost ~]# iptables -t nat -A POSTROUTING -s /24-o eth0-j SNAT --to-source 1改为-j MASQUERADEDNAT策略概述DNAT策略的典型应用环境在Internet中发布位于企业局域网内的服务器DNAT策略的原理目标地址转换，Destination Network Address Translation修改数据包的目标地址DNAT的典型应用环境在Internet中发布内网服务器DNAT策略的工作原理进行DNAT转换后的情况DNAT策略的应用2在Internet中发布内网服务器前提条件局域网的Web服务器能够访问Internet网关的外网IP地址有正确的DNS解析记录Linux网关支持IP路由转发实现方法编写DNAT转换规则[root@localhost ~]# iptables -t nat -A PREROUTING#路由选择之前处理 -i eth0 -d 1#外网接口的IP地址 -p tcp --dport 80#发布的服务端口 -j DNAT --to-destination #Web主机的内网IP地址验证DNAT结果在外网客户机8 中能够访问位于企业内网的Web服务，访问地址为1/查看Web服务器 的访问日志，记录了外网客户机的IP地址8发布时修改目标端口在DNAT规则中以“IP:Port”的形式指定目标地址[root@localhost ~]# iptables -t nat -A PREROUTING -i eth0 -d 1-p tcp –dport2346#访问的目标端口 -j DNAT --to-destination :22#实际提供服务的端口规则的备份及还原导出（备份）规则iptables-save工具可结合重定向输出保存到指定文件[root@localhost ~]# iptables-save # Generated by iptables-save v1.4.7 on Wed Sep 24 08:25:33 2014*filter:INPUT ACCEPT [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [54:7037]-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT# Completed on Wed Sep 24 08:25:33 2014[root@localhost ~]# iptables-save /opt/iprules_all.txt导入（还原）规则iptables-restore工具可结合重定向输入指定规则来源[root@localhost ~]# iptables-restore /opt/iprules_all.txt使用iptables系统服务iptables服务脚本位置：/etc/init.d/ipta