iptables和nat的配置与管理

合集下载

iptables的规则

iptables的规则iptables是一种用于配置Linux内核防火墙规则的工具，它提供了一种对网络流量进行细粒度控制的方式，可以用于保护系统免受网络攻击，限制网络访问，实现网络地址转换等功能。

以下是iptables的一些常用规则：1. 清空规则并设置默认链策略：清空之前的规则，并设置默认链的策略。

2. 屏蔽指定的IP地址：阻止特定IP地址的访问。

3. 允许Ping测试：允许本机发起的Ping请求，以便于检测网络连接。

4. 允许环回访问：允许本机访问自身，以确保本地主机能够访问。

5. 允许SSH连接请求：允许SSH服务器的连接请求，以提供安全的远程登录。

6. 允许HTTP和HTTPS连接请求：允许Web服务的连接请求，以确保网络访问正常。

7. 允许出站DNS连接：允许本机发起的DNS查询请求，以实现域名解析。

8. 允许NIS连接：允许NIS服务的连接请求，以便于实现用户和主机信息的管理。

9. 允许IMAP和IMAPS：允许IMAP和IMAPS服务的连接请求，以确保邮件服务的正常运行。

10. 允许POP3和POP3S：允许POP3和POP3S服务的连接请求，以确保邮件服务的正常运行。

11. 防止DoS攻击：阻止恶意流量，以防止拒绝服务攻击。

12. 转发与NAT：实现网络地址转换，将私有IP地址映射到公共IP 地址。

13. 自定义链记录丢弃的数据包：根据需求定制丢弃特定类型的数据包。

iptables规则分为四个主要的表：filter表、nat表、mangle表和raw 表。

每个表包含多个链，链是规则的集合，用于定义数据包的处理流程。

常见的链包括INPUT（处理输入数据包）、OUTPUT（处理输出数据包）、FORWARD（处理转发数据包）等。

规则定义了数据包的匹配条件以及匹配条件满足时应该执行的动作。

需要注意的是，iptables规则的设置需要根据实际需求进行，以免影响正常网络服务。

在配置规则时，建议参考相关文档和示例，以确保防火墙策略的有效性。

iptables和nat的配置与管理

iptables简介
netfilter是Linux核心中的一个通用架构，它提供了一系列的“表”（tables），每个表由若干“链”（ chains）组成，而每条链可以由一条或数条“规则”（ rules）组成。实际上，netfilter是表的容器，表是链的容器，而链又是规则的容器。 3个表： filter（默认表）、nat表、manger表 5条链： INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING

பைடு நூலகம்
Iptables的基本语法实例
在filter表中INPUT链的第2条规则前插入一条新规则，规则为不允许访问TCP协议的53端口的数据包通过 iptables –I INPUT 2 –p tcp –dport 53 –j DROP 在filter表中INPUT链的第一条规则前插入一条新规则，规则为允许源IP地址属于172.16.0.0/16网段的数据包通过 iptables –I INPUT 1 –s 172.16.0.0/16 –j ACCEPT 删除filter表中INPUT链的第2条规则 iptables –D INPUT 2 清除filter表中INPUT链的所有规则。 iptables –F INPUT
iptables和nat的配置与管理
金京犬
Tip：学习目标
知识目标了解防火墙的分类及工作原理、了解NAT 掌握iptables防火墙的配置掌握利用iptables实现NAT 能力目标能熟练完成利用iptables架设企业NAT服务器情感目标

项目背景
假如某公司需要Internet接入，由ISP分配IP地址 202.112.113.112。采用iptables作为NAT服务器接入网络，内部采用192.168.1.0/24地址，外部采用202.112.113.112 地址。为确保安全需要配置防火墙功能，要求内部仅能够访问Web、DNS及Mail三台服务器；内部Web服务器 192.168.1.100通过端口映象方式对外提供服务。网络拓扑结构如下图所示。

iptables防火墙FORWARD 和 NAT 规则的应用

服务器服务器系统； 5. 利用iptables命令查看结果。
允许整个 LAN 的转发（防火墙/ 网关在 eth0 上有一个内部 IP 地
址192.168.0.105）
查看是否设置成功
操作流程：
1. 利用命令查看制定链中的所有规则和网卡信息； 2. 利用命令设置防火墙允许整个 LAN 的转发； 3. 把来自 LAN 节点的请求都伪装成防火墙的外部设备的 IP 地址； 4. 把进入的 HTTP 请求转发到 192.168.0.127上的专用 Apache HTTP
服务器服务器系统； 5. 利用iptables命令查看结果。
查看配置结果
实验结论：
通过对iptables防火墙基本配置的学习，可以有效利用配置端口的方法来控制系统服务的应用，以确保服务器的可靠性和安全性。
nat规则的应用多数机构从它们的isp处得到数量有限的公网ip地址鉴于这种限额管理员必须积极寻求分享互联网服务的创建性方法而又不必把稀有的ip地址分配给lan上的每一台机器
iptables防火墙FORWARD 和 NAT 规则的应用
背景描述：
多数机构从它们的ISP处得到数量有限的公网IP地址，鉴于这种限额，管理员必须积极寻求分享互联网服务的创建性方法，而又不必把稀有的IP地址分配给LAN上的每一台机器。针对此情况，iptables防火墙提供了选路发送和转发政策，可以实现网络资源的有效利用。
服务器服务器系统； 5. 利用iptables命令查看结果。
把来自 LAN 节点的请求都伪装成防火墙的外部设
备的 IP 地址
操作流程：
1. 利用命令查看制定链中的所有规则和网卡信息； 2. 利用命令设置防火墙允许整个 LAN 的转发； 3. 把来自 LAN 节点的请求都伪装成防火墙的外部设备的 IP 地址； 4. 把进入的 HTTP 请求转发到 192.168.0.127上的专用 Apache HTTP

使用 iptables 进行网络安全配置

使用 iptables 进行网络安全配置网络安全是当今互联网上最重要的问题之一。

针对这个问题，使用iptables进行网络安全配置是一种行之有效的方法。

本文将探讨如何使用iptables进行网络安全配置。

什么是iptables？Iptables是一个用户空间程序，用于配置Linux内核中的防火墙规则。

它可以帮助您在多个网络之间进行数据包过滤和NAT（网络地址转换）操作。

Iptables的规则集可以非常复杂，因此使用iptables需要一定的技术和经验。

iptables的重要性遵循最佳实践的安全策略可以减少网络安全风险和漏洞。

iptables是保护Linux服务器的一种非常有效的工具。

通过iptables，可以轻松地控制网络流量，从而保护服务器免受恶意攻击和其他安全威胁。

使用Iptables进行网络安全配置iptables规则集由若干网络过滤链组成，每个链包含一组规则。

这些规则确定何时接受、拒绝、转发或修改网络通信。

以下是使用iptables进行网络安全配置的基本步骤：1.了解iptables的结构与过滤链在iptables规则集中，有五个网络过滤链：输入（INPUT）、输出（OUTPUT）、转发（FORWARD）、PREROUTING和POSTROUTING。

输入链（INPUT）：输入链用于控制从外部网络中进入服务器的流量。

输出链（OUTPUT）：输出链用于控制从服务器向外部网络发送的流量。

转发链（FORWARD）：转发链用于控制由服务器转发到其他网络节点的流量。

PREROUTING 链：此过滤链用于控制网络地址转换（NAT）之前的流量。

POSTROUTING 链：此过滤链用于控制网络地址转换（NAT）之后的流量。

2.设置默认策略默认策略指的是当某个数据包不符合任何规则时应该采取的操作。

可以设置默认策略为拒绝或允许，根据网络环境和安全要求进行设置。

命令示例：#默认策略设置为允许iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT#默认策略设置为拒绝iptables -P INPUT DROPiptables -P OUTPUT DROPiptables -P FORWARD DROP3.添加规则对于每个过滤链，可以添加规则控制网络流量。

防火墙和NAT

返回
19.2 NAT的地址概念
19.2.1 内部本地地址 19.2.2 内部全局地址 19.2.3 外部本地地址 19.2.4 外部全局地址返回结束
19.2.1 内部本地地址
内部本地地址（Inside Local IP Address）是指在内部网上分配到一个主机的IP地址。这个地址一般不是由网络信息中心NIC或服务提供商所分配的合法IP地址，而是私有地址。
返回
19.4 NAT配置实例
19.4.1 实例模型 19.4.2 配置NAT服务器 19.4.3 配置NAT客户端
返回
结束
19.4.1 实例模型
在Linux和Windows环境下配置NAT的实例模型如下。
返回
NAT转换
19.4.2 配置SNAT服务器
Source NAT在数据包送出之前改变数据包的源地址,参数如下: -j SNAT 定义SNAT --to-source 指定转换后的源地址[:port]，可以简写成--to [:port]，端口，是一个可选项，仅在指明TCP或UDP协议时使用 -o 出口接口（outgoing interface）举例：把数据包源地址转换为 1.2.3.4. iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
如果单纯使用NAT技术，还会遇到以下方面的安全问题： NAT只对地址进行转换而不进行其他操作，因此，在建立了与外部网络的连接时，NAT不会阻止任何从外部返回的恶意破坏信息。虽然NAT隐藏了端到端的IP地址，但并不隐藏主机信息，这一问题是NAT技术明显的安全隐患。 Internet上的恶意攻击通常针对机器的“公用端口”，如HTTP的80 端口、FTP的21端口和POP的110端口等。虽然NAT可以屏蔽不向外部网络开放的端口，但针对面向公用端口的攻击，NAT是无能为力的。

iptables 配置nat masquerade规则

iptables 配置nat masquerade规则iptables是Linux操作系统中一个重要的防火墙软件，它可以用来配置和管理网络数据包的转发和过滤规则。

其中一项常见的配置是nat masquerade规则，用于实现网络地址转换（Network Address Translation，NAT），将内部局域网的私有IP地址转换为公共IP地址，实现内网与外网的通信。

本文将逐步解释iptables配置nat masquerade 规则的步骤和原理。

第一步：了解nat masquerade的原理在深入了解iptables配置nat masquerade规则之前，我们首先需要了解nat masquerade的原理。

当内部局域网上的设备通过路由器连接到互联网时，由于内网使用的是私有IP地址，而互联网上使用的是公共IP地址，所以需要进行地址转换。

nat masquerade将内部局域网的私有IP 地址转换为路由器的公共IP地址，使得内网设备可以正常访问互联网。

第二步：确认系统中是否已安装iptables在开始配置nat masquerade规则之前，我们需要确认系统中是否已经安装了iptables。

可以通过在终端执行以下命令来检查：shelliptables -V如果系统已安装iptables，将显示出iptables的版本号和其他信息。

如果系统未安装iptables，可以通过以下命令来安装：shellsudo apt-get install iptables请根据使用的Linux发行版选择相应的命令。

第三步：创建一个新的iptables链接下来，我们需要创建一个新的iptables链来存储nat masquerade规则。

可以使用以下命令创建一个名为"MASQUERADE"的新链：shellsudo iptables -t nat -N MASQUERADE这将在iptables的nat表中创建一个新的自定义链。

iptables 删除nat指定规则

iptables 删除nat指定规则iptables是一个用于Linux操作系统上配置防火墙规则的工具。

通过使用iptables，可以设置规则来过滤、转发和修改网络数据包。

其中，nat表是iptables的一个重要表，用于进行网络地址转换。

在某些情况下，我们可能需要删除nat表中的某个指定规则。

删除规则可以帮助我们重新调整防火墙的配置，以满足特定的需求。

接下来，我们将介绍如何使用iptables删除nat表中的指定规则。

我们需要了解nat表中规则的结构。

每个nat规则由一系列匹配条件和一个动作组成。

匹配条件用于确定是否应该应用该规则，而动作则指定了要对匹配的数据包执行的操作。

在删除规则之前，我们需要知道要删除的规则的匹配条件和动作。

要删除nat表中的指定规则，我们可以使用以下命令：```iptables -t nat -D <chain> <rule-specification>```其中，`-t nat`参数用于指定要操作的表为nat表，`-D`参数表示删除规则。

`<chain>`是要删除规则所在的链的名称，例如PREROUTING、POSTROUTING等。

`<rule-specification>`是要删除的规则的具体内容。

为了更好地理解如何删除nat表中的指定规则，我们来看一个示例。

假设我们的防火墙规则中有一个nat规则，用于将外部访问的TCP 数据包转发到内部服务器的指定端口。

该规则的匹配条件为外部访问的源IP地址和目标端口，动作为进行端口转发。

现在，我们希望删除这个规则。

我们需要确定该规则所在的链的名称。

可以使用以下命令来列出nat表中的所有链：```iptables -t nat -L```在输出中找到包含该规则的链的名称。

假设该规则在PREROUTING链中。

然后，我们需要确定要删除的规则的具体内容。

可以使用以下命令来列出PREROUTING链中的所有规则：```iptables -t nat -L PREROUTING```在输出中找到要删除的规则，并记下其内容。

iptables 配置nat masquerade规则 -回复

iptables 配置nat masquerade规则-回复如何在iptables中配置nat masquerade规则。

第一步：了解NAT和Masquerade的概念和功能在开始配置iptables之前，我们首先需要了解NAT（Network Address Translation）和Masquerade（伪装）的概念和功能。

NAT是一种网络地址转换技术，它允许将私有IP地址转换为公有IP地址，从而实现内部网络与外部网络之间的通信。

NAT的作用是解决IPv4地址不足的问题，并且可以提高网络安全性，因为它隐藏了内部网络的真实IP 地址。

Masquerade是NAT的一种特殊形式，其中NAT规则是动态创建的。

当一个数据包出去时，Masquerade规则会自动将源IP地址替换为外部接口的IP地址，并将其映射回答数据包的源地址。

这样，只有一个公共IP 地址可以代表整个内部网络。

第二步：确定启用NAT和Masquerade功能的必要性在开始配置之前，需要确定是否需要启用NAT和Masquerade功能。

在许多情况下，这两个功能是必需的，例如：1. 当内部网络中的计算机需要通过Internet访问外部资源时，需要使用NAT和Masquerade功能。

由于内部网络使用的是私有IP地址，所以需要将其转换为公共IP地址，以便与外部网络通信。

2. 如果您有多个内部网络（例如，它们使用不同的子网），并且您想要使用一个公共IP地址代表这些内部网络，那么您需要使用NAT和Masquerade功能来实现这一目标。

第三步：进入iptables配置界面在Linux系统中，我们可以使用iptables命令来配置防火墙规则，包括NAT和Masquerade规则。

首先，我们需要进入iptables配置界面。

在大多数Linux发行版中，可以使用以下命令进入iptables配置界面：sudo iptables -t nat -I PREROUTING -p tcp dport 80 -j DNATto-destination 192.168.1.2:80此命令打开了一个加入PREROUTING 链的规则，匹配来自任何源IP地址、任何TCP目标端口为80的数据包，并将其目标更改为192.168.1.2:80。

Linux命令高级技巧使用iptables进行端口转发和NAT

Linux命令高级技巧使用iptables进行端口转发和NAT在Linux系统中，iptables是一个非常强大的工具，用于配置和管理网络包过滤规则。

除了基本的网络包过滤功能，iptables还可以用于端口转发和网络地址转换(NAT)。

本文将介绍如何使用iptables进行端口转发和NAT，以及一些高级技巧。

1. 端口转发端口转发是一种将网络流量从一个端口转发到另一个端口的技术。

它在网络中广泛应用于代理服务器、端口映射、负载均衡等场景。

下面是使用iptables进行端口转发的示例命令：```iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.100:80```在上述命令中，`-t nat`表示我们要操作的是`nat`表，`-A PREROUTING`表示将规则添加到`PREROUTING`链中，`-p tcp --dport 8080`表示匹配TCP协议和目标端口号8080，`-j DNAT`表示采取目标网络地址转换，`--to-destination 192.168.0.100:80`表示将数据包转发到目标IP地址192.168.0.100的80端口。

2. 网络地址转换(NAT)网络地址转换(NAT)是一种将私有网络中的IP地址转换为公共网络中的IP地址的技术。

它广泛应用于家庭网络和企业网络中，允许多台设备共享一个公共IP地址。

下面是使用iptables进行NAT的示例命令：```iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE```在上述命令中，`-t nat`表示我们要操作的是`nat`表，`-A POSTROUTING`表示将规则添加到`POSTROUTING`链中，`-s192.168.0.0/24`表示源IP地址为192.168.0.0/24的网络，`-o eth0`表示出去的网络接口为eth0，`-j MASQUERADE`表示使用动态地址转换。

Linux命令高级技巧使用iptables命令配置和管理防火墙规则

Linux命令高级技巧使用iptables命令配置和管理防火墙规则Linux系统中有许多命令可以使用，其中iptables命令是用于配置和管理防火墙规则的重要工具。

本文将介绍一些使用iptables命令的高级技巧，帮助读者更好地理解和使用这个命令。

一、iptables命令简介iptables是一个用于IPv4包过滤和控制Linux内核防火墙服务的用户空间工具。

它可以进行网络地址转换（NAT）、数据包过滤、端口重定向等操作，是保护计算机系统免受恶意攻击的重要工具。

二、iptables命令基本语法iptables命令的基本语法如下所示：iptables [选项] [链] [规则规格]其中，选项是可选的，用于指定不同的功能；链用于指定规则要应用的链，例如INPUT、FORWARD、OUTPUT等；规则规格用于指定具体的防火墙规则。

三、iptables命令常用选项1. -A：追加一条规则到某个链的末尾2. -I：向某个链中的指定位置插入一条规则3. -D：从某个链中删除一条规则4. -P：设置某个链的默认策略5. -L：列出某个链中的所有规则6. -F：清除某个链中的所有规则四、iptables命令高级技巧1. 配置端口转发使用iptables命令可以轻松实现端口转发，将外部请求转发到内部服务器。

例如，要将外部的SSH请求转发到内部服务器的SSH端口，可以使用如下命令：iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to-destination 内部服务器IP地址:22这样，外部用户连接到本机的22端口时，请求将被转发至内部服务器的22端口。

2. 过滤IP地址通过iptables命令，可以方便地过滤特定的IP地址或IP地址段。

例如，要拒绝来自某个IP地址的所有请求，可以使用如下命令：iptables -A INPUT -s 某个IP地址 -j DROP这样，来自该IP地址的请求将被直接拒绝。

Linux iptables防火墙设置与NAT服务配置

Linux iptables防火墙设置与NAT服务配置摘要：linux教程,NAT服务器,iptables防火墙设置与NAT服务配置, 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。

一.防火墙的概述(一).防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。

它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。

它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。

防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。

如果都不满足，则将数据包丢弃，从而保护网络的安全。

通过使用防火墙可以实现以下功能：可以保护易受攻击的服务；控制内外网之间网络系统的访问；集中管理内网的安全性，降低管理成本；提高网络的保密性和私有性；记录网络的使用状态，为安全规划和网络维护提供依据。

(二).防火墙的分类防火墙技术根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤防火墙和代理服务器两种类型。

(三).防火墙的工作原理1．包过滤防火墙工作原理①数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传送前，将数据包转发给包检查模块进行处理。

②首先与第一个过滤规则比较。

③如果与第一个模块相同，则对它进行审核，判断是否转发该数据包，这时审核结果是转发数据包，则将数据包发送到TCP层进行处理，否则就将它丢弃。

④如果与第一个过滤规则不同，则接着与第二个规则相比较，如果相同则对它进行审核，过程与③相同。

⑤如果与第二个过滤规则不同，则继续与下一个过滤规则比较，直到与所有过滤规则比较完成。

要是所有过滤规则都不满足，就将数据包丢弃。

2．代理服务型防火墙工作原理代理服务型防火墙是在应用层上实现防火墙功能的。

iptables防火墙FORWARD 和 NAT 规则的应用

服务器服务器系统； 5. 利用iptables命令查看结果。
查看配置结果
实验结论：
通过对iptables防火墙基本配置的学习，可以有效利用配置端口的方法来控制系统服务的应用，以确保服务器的可靠性和安全性。
iptables防火墙FORWARD 和 NAT 规则的应用
背景描述：
多数机构从它们的ISP处得到数量有限的公网IP地址，鉴于这种限额，管理员必须积极寻求分享互联网服务的创建性方法，而又不必把稀有的IP地址分配给LAN上的每一台机器。针对此情况，iptables防火墙提供了选路发送和转发政策，可以实现网络资源的有效利用。
服务器服务器系统； 5. 利用iptables命令查看结果。
把来自 LAN 节点的请求都伪装成防火墙的外部设
备的 IP 地址
操作流程：
1. 利用命令查看制定链中的所有规则和网卡信息； 2. 利用命令设置防火墙允许整个 LAN 的转发； 3. 把来自 LAN 节点的请求都伪装成防火墙的外部设备的 IP 地址； 4. 把进入的 HTTP 请求转发到 192.168.0.127上的专用 Apache HTTP
服务器服务器系统； 5. 利用iptables命令查看结果。
允许整个 LAN 的转发（防火墙/ 网关在 eth0 上有一个内部 IP 地
址192.168.0.105）
查看是否设置成功
操作流程：
1. 利用命令查看制定链中的所有规则和网卡信息； 2. 利用命令设置防火墙允许整个 LAN 的转发； 3. 把来自 LAN 节点的请求都伪装成防火墙的外部设备的 IP 地址； 4. 把进入的 HTTP 请求转发到 192.168.0.127上的专用 Apache HTTP
操作流程：

linux防火墙iptables常用规则(屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链)

linux防火墙iptables常用规则(屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链)一、iptables：从这里开始删除现有规则iptables -F(OR)iptables --flush设置默认链策略iptables的filter表中有三种链：INPUT, FORWARD和OUTPUT。

默认的链策略是ACCEPT，你可以将它们设置成DROP。

iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP你需要明白，这样做会屏蔽所有输入、输出网卡的数据包，除非你明确指定哪些数据包可以通过网卡。

屏蔽指定的IP地址以下规则将屏蔽BLOCK_THIS_IP所指定的IP地址访问本地主机：BLOCK_THIS_IP="x.x.x.x"iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP (或者仅屏蔽来自该IP的TCP数据包）iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP允许来自外部的ping测试iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT允许从本机ping外部主机iptables -A OUTPUT -p icmp --icmp-type echo-request -jACCEPTiptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT允许环回(loopback)访问iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT二、iptables：协议与端口设定允许所有SSH连接请求本规则允许所有来自外部的SSH连接请求，也就是说，只允许进入eth0接口，并且目的端口为22的数据包iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state--state ESTABLISHED -j ACCEPT允许从本地发起的SSH连接本规则和上述规则有所不同，本规则意在允许本机发起SSH 连接，上面的规则与此正好相反。

高级技巧使用iptables进行端口转发与NAT配置

高级技巧使用iptables进行端口转发与NAT配置使用iptables进行端口转发与NAT配置是网络管理中常见的高级技巧。

本文将介绍iptables的基本概念和配置方法，并详细讲解如何使用iptables进行端口转发和NAT配置。

一、iptables概述iptables是Linux操作系统中用于管理网络数据包的工具。

它可以根据预设的规则对进出的数据包进行过滤、修改和重定向等操作。

iptables使用规则链（rule chain）来组织规则，并根据规则链的顺序逐一检查数据包。

根据规则链的配置不同，iptables可以实现防火墙、端口转发和网络地址转换（NAT）等功能。

二、端口转发端口转发是指将网络数据包从一个端口转发到另一个端口。

使用iptables进行端口转发时，首先需要开启网络包转发功能，命令如下：```echo 1 > /proc/sys/net/ipv4/ip_forward```接下来，使用iptables设置端口转发规则，命令如下：```iptables -t nat -A PREROUTING -p tcp --dport 源端口 -j DNAT --to-destination 目标IP:目标端口```其中，-t nat表示使用nat表，-A PREROUTING表示在数据包进入路由之前进行转发，-p tcp表示转发TCP协议的数据包，--dport指定源端口，-j DNAT表示进行目标地址转换，--to-destination指定目标IP和端口。

三、NAT配置NAT配置是指将私有网络中的IP地址转换为公网IP地址，使内部网络可以访问外部网络。

使用iptables进行NAT配置时，需要开启网络地址转换功能，命令如下：```echo 1 > /proc/sys/net/ipv4/ip_forward```然后，设置NAT规则，命令如下：```iptables -t nat -A POSTROUTING -s 内网IP/子网掩码 -j SNAT --to-source 公网IP```其中，-t nat表示使用nat表，-A POSTROUTING表示在数据包离开网关之前进行转发，-s指定源IP地址范围，-j SNAT表示进行源地址转换，--to-source指定公网IP。

linux nat实现方式

linux nat实现方式标题：Linux NAT实现方式引言：在计算机网络中，网络地址转换（Network Address Translation，NAT）是一种常见的网络技术，用于将私有IP地址与公共IP地址进行转换，以实现局域网内主机与外部网络的通信。

本文将介绍Linux下实现NAT的几种方式，以及它们的优缺点。

一、IPTables NAT1. IPTables是Linux上常用的防火墙工具，它可以通过配置NAT规则实现地址转换。

在IPTables中，可以使用以下命令开启NAT功能： iptables -t nat -A POSTROUTING -o <外网接口> -j MASQUERADE这条规则将对通过外网接口出去的数据包进行源地址伪装，使得回应数据包能够正确返回。

2. IPTables NAT的优点是简单易用，且性能较高。

它可以根据需要配置不同的转换规则，具有较强的灵活性。

3. 然而，IPTables NAT也存在一些缺点。

例如，它只能在内核层面进行地址转换，无法处理应用层的协议。

此外，配置复杂的NAT规则可能会导致性能下降。

二、IPFWADM NAT1. IPFWADM是Linux早期版本中使用的一种防火墙工具，它也支持NAT功能。

在IPFWADM中，可以使用以下命令开启NAT功能：ipfwadm -F -p masq -a2. IPFWADM NAT的优点是配置简单，适合于一些简单的场景。

它的性能也相对较好，适合于低负载环境。

3. 然而，IPFWADM NAT已经逐渐被IPTables所取代，使用较少，功能相对有限。

三、NAT Network Namespace1. Network Namespace是Linux内核提供的一种机制，可以将网络资源隔离在不同的命名空间中。

通过创建多个Network Namespace，并配置相应的NAT规则，可以实现不同命名空间之间的地址转换。

iptables masquerade规则

iptables masquerade规则Iptables masquerade 规则是Linux 系统中一个非常重要的网络管理工具。

它被用于网络地址转换(NAT)，允许数据在不同网络之间进行通信。

本文将详细介绍iptables masquerade 规则以及如何逐步设置它。

第一部分：什么是iptables masquerade 规则？Iptables 是一个内核模块，它是Linux 系统中用于配置和管理网络规则的工具，而masquerade 规则是其中的一种。

可能你已经听说过网络地址转换（Network Address Translation，简称NAT），它允许将内部网络中的IP 地址转换为外部网络中的IP 地址。

在大多数情况下，这种网络地址转换是通过使用iptables masquerade 规则来实现的。

当我们的计算机连接到互联网时，它通过一个路由器或者网络设备进行连接。

路由器或者网络设备具有外部网络（即互联网）的IP 地址，而计算机通常位于一个内部网络中，这个内部网络有一个不同于互联网的IP 地址段。

而当我们在计算机上发送数据包时，数据包被路由器接收并从内部网络转发到互联网。

这个过程涉及网络地址转换，即将内部网络上的IP 地址转换为路由器所在的外部网络上的IP 地址。

这就是iptables masquerade 规则发挥作用的地方。

第二部分：如何设置iptables masquerade 规则？为了设置iptables masquerade 规则，我们需要使用iptables 命令操作。

下面是一步一步的设置过程：1. 打开终端，并使用root 权限登录。

2. 检查当前系统上iptables 是否已安装并运行。

可以通过输入以下命令进行检查：iptables -L如果报错或者没有任何输出，说明iptables 还未启用。

运行以下命令以启用iptables：iptables -Fiptables -Xiptables -P INPUT ACCEPTiptables -P FORWARD ACCEPTiptables -P OUTPUT ACCEPT3. 创建一个名为iptables-masquerade.sh 的新文件，并使用文本编辑器（如vim或nano）打开它：vim iptables-masquerade.sh4. 在文件中输入以下内容，其中eth0 表示内部网络接口，而eth1 表示外部网络接口。

Linux1 防火墙 iptables防火墙NAT简介及配置

Linux1 防火墙iptables防火墙NAT简介及配置防火墙可分为几种不同的安全等级。

在Linux中，由于有许多不同的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的保护能力。

不过，Linux核心本身内建了一种称作"伪装"的简单机制NAT（网络地址转换），除了可以抵挡住绝大部分的攻击行动，还可以抵挡专门的黑客攻击。

1．NAT简介NA T（网络地址装换）可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。

NAT路由器在将内部网络的数据包发送到公用网络时，在IP包的报头把私有地址转换成合法的IP地址。

2．NAT的工作原理：当内部网络中的一台主机想传输数据到外部网络时，其先将数据包传输到iptables服务器上，服务器检查数据包的报头，获取该数据包的源IP信息，并从它的NA T映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址来替换内部局部地址，并转发数据包。

当外部网络对内部主机进行应答时，数据包被送到iptables服务器上，服务器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NA T映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。

提示内部局部地址：在内部网络中分配给主机的私有IP地址。

内部全局地址：一个合法的IP地址，它对外代表一个或多个内部局部IP地址。

外部全局地址：由其所有者给外部网络上的主机分配的IP地址。

外部局部地址：外部主机在内部网络中表现出来的IP地址。

3．使用iptables配置NAT●NAT表需要的3个链PREROUTING可以在这里定义进行目的NA T的规则，因为路由器进行路由时只检查数据包的目的ip地址，所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。

POSTROUTING可以在这里定义进行源NA T的规则，系统在决定了数据包的路由以后在执行该链中的规则。

如何使用iptables命令在Linux中配置和管理端口转发

如何使用iptables命令在Linux中配置和管理端口转发配置和管理端口转发是在Linux系统中使用iptables命令的一个重要任务。

iptables是Linux系统中用于管理网络数据包的防火墙的工具，它也可以用于实现端口转发功能。

本文将介绍如何使用iptables命令在Linux中配置和管理端口转发。

一、端口转发的概念端口转发是一种网络技术，在网络通信中起到重要作用。

当一台计算机收到某个端口的请求时，将该请求转发到另一台计算机的另一个端口上。

通过端口转发，可以将来自外部网络对某个端口的请求转发到内部网络上的另一台计算机。

这样，可以实现内部网络和外部网络之间的通信。

二、iptables命令简介iptables是Linux系统中用于管理网络数据包的防火墙工具。

它可以用于控制网络数据包的传输，实现网络安全和访问控制等功能。

iptables命令的基本语法如下：```iptables [选项] [链名] [规则内容]```其中，选项指定iptables的一些操作参数，链名指定要操作的链，规则内容指定要添加、删除或修改的规则。

三、配置和管理端口转发的步骤在Linux中配置和管理端口转发的过程中，可以按照以下步骤进行操作：1. 首先，需要确保系统中已经安装了iptables工具。

可以使用以下命令检查iptables是否已安装：```iptables --version```2. 确认iptables服务是否已启动。

可以使用以下命令查看iptables服务的状态：```systemctl status iptables```如果iptables服务未启动，可以使用以下命令启动iptables服务：```systemctl start iptables```3. 设置端口转发规则。

可以使用以下命令添加端口转发规则：```iptables -t nat -A PREROUTING -p 协议 -i 输入接口 -d 目标地址 --dport 源端口 -j DNAT --to-destination 目标地址:目标端口```其中，协议指定要转发的协议，输入接口指定数据包进入的接口，目标地址指定转发的目标地址，源端口指定要转发的源端口，目标端口指定转发的目标端口。

iptables配置

iptables配置⽬录1. 基本概念五个基本规则链条：1. PREROUTING（路由前）2. INPUT（数据包流⼊⼝）3. FORWARD（转发关卡）4. OUTPUT（数据包出⼝）5. POSTOUTING（路由后）规则表1. raw 表: 是否跟踪 OUTPUT,PREROUTING2. mangle 表: 修改报⽂原数据 PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING3. nat 表: 定义地址转换 PREROUTING,OUTPUT,POSTROUTING4. filter 表: 定义允许或者不允许 INPUT,FORWARD,OUTPUTiptables 命令中常见的控制类型：1. ACCEPT: 允许通过2. LOG: 记录⽇志信息,然后传给下⼀条规则继续匹配3. REJECT: 拒绝通过,必要时会给出提⽰4. DROP: 直接丢弃,不给出任何回应iptables 命令：# iptables [-t table] command match -j targetiptables 的基本参数：参数作⽤command-P 设置默认策略: iptables -P INPUT (DROP|ACCEPT)-F 清空规则链-L 查看规则链-A 在规则链的末尾加⼊新规则-D num 删除某⼀条规则match-s 匹配来源地址 IP/MASK，加叹号"!"表⽰除这个 IP 外。

-d 匹配⽬标地址-i ⽹卡名称匹配从这块⽹卡流⼊的数据-o ⽹卡名称匹配从这块⽹卡流出的数据-p 匹配协议,如 tcp,udp,icmp--dport num 匹配⽬标端⼝号--sport num 匹配来源端⼝号2. 配置步骤1. 关闭 firewall# systemctl stop firewalld.service ## 停⽌ firewall# systemctl disable firewalld.service ## 禁⽌ firewall 开机启动# systemctl mask --now firewalld ## 在不完全卸载的情况下，彻底禁⽤，可防⽌⾃启动# systemctl list-unit-files | grep mask ## 查看被 mask 的服务2. 安装 iptables 防⽕墙# yum install iptables-services ## 安装filter 表：3. 清空已有规则# iptables -F# iptables -X# iptables -Z4. 设置默认访问规则# iptables -P INPUT DROP ## 默认为丢弃# iptables -P FORWARD DROP ## 默认为丢弃# iptables -P OUTPUT ACCEPT ## 默认为通过5. 配置允许 SSH 登录端⼝进⼊# iptables -A INPUT -p tcp --dport 22 -j ACCEPT# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT6. 允许所有的 ping 操作# iptables -A INPUT -p icmp -j ACCEPT# iptables -A OUTPUT -p icmp -j ACCEPT7. 允许本机 IO 通信# iptables -A INPUT -i lo -p all -j ACCEPT# iptables -A OUTPUT -o lo -p all -j ACCEPT8. 开放特定的端⼝# iptables -A INPUT -p tcp --dport 80 -j ACCEPT# iptables -A INPUT -p tcp --dport 443 -j ACCEPT9. 开启转发功能# iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT # iptables -A FORWARD -i eth1 -o eh0 -j ACCEPT10. 丢弃坏的 TCP 包# iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP11. 处理 IP 碎⽚数量，防⽌攻击，允许每秒100个# iptables -A FORWARD -f -m limit --limit 100/s --limit-burst 100 -j ACCEPT12. 设置 ICMP 包过滤，允许每秒1个包，限制触发条件是10个包# iptables -A FORWARD -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPTnat 表：13. 清空nat表# iptables -F -t nat# iptables -X -t nat# iptables -Z -t nat14. 添加规则。

iptable_nat

两小时玩转 iptables摘自Chinaunix讲座cu.platinum@2006.03.18主题大纲1. 概述2. 框架图3. 语法4. 实例分析5. 网管策略6. FAQ7. 实战1. 概述2.4.x、2.6.x 内核netfilter/iptables2.1 框架图-->PREROUTING-->[ROUTE]-->FORWARD-->POSTROUTING--> mangle | mangle ^ manglenat | filter | nat| || |v |INPUT OUTPUT| mangle ^ mangle| filter | natv ------>local------->| filter2.2 链和表}表filter：顾名思义，用于过滤的时候nat：顾名思义，用于做 NAT 的时候NAT：Network Address Translator}链INPUT：位于 filter 表，匹配目的 IP 是本机的数据包FORWARD：位于 filter 表，匹配穿过本机的数据包， PREROUTING：位于 nat 表，用于修改目的地址（DNAT） POSTROUTING：位于 nat 表，用于修改源地址（SNAT）3.1 iptables 语法概述}iptables [-t 要操作的表]<操作命令>[要操作的链][规则号码][匹配条件][-j 匹配到以后的动作]3.2 命令概述}操作命令（-A、-I、-D、-R、-P、-F）}查看命令（-[vnx]L）3.2.1 -A-A <链名>APPEND，追加一条规则（放到最后）例如：iptables -t filter -A INPUT -j DROP在 filter 表的 INPUT 链里追加一条规则（作为最后一条规则）匹配所有访问本机 IP 的数据包，匹配到的丢弃3.2.2 -I-I <链名> [规则号码]INSERT，插入一条规则例如：iptables -I INPUT -j DROP在 filter 表的 INPUT 链里插入一条规则（插入成第 1 条）iptables -I INPUT 3 -j DROP在 filter 表的 INPUT 链里插入一条规则（插入成第 3 条）注意：1、-t filter 可不写，不写则自动默认是 filter 表2、-I 链名[规则号码]，如果不写规则号码，则默认是 13、确保规则号码≤（已有规则数 + 1），否则报错3.2.3 -D-D <链名> <规则号码 | 具体规则内容>DELETE，删除一条规则例如：iptables -D INPUT 3（按号码匹配）删除 filter 表 INPUT 链中的第三条规则（不管它的内容是什么）删除 filter 表 INPUT 链中内容为“-s 192.168.0.1 -j DROP”的规则（不管其位置在哪里）注意：1、若规则列表中有多条相同的规则时，按内容匹配只删除序号最小的一条2、按号码匹配删除时，确保规则号码≤已有规则数，否则报错3、按内容匹配删除时，确保规则存在，否则报错3.2.4 -R-R <链名> <规则号码> <具体规则内容>REPLACE，替换一条规则例如：iptables -R INPUT 3 -j ACCEPT将原来编号为 3 的规则内容替换为“-j ACCEPT”注意：确保规则号码≤已有规则数，否则报错3.2.5 -P-P <链名> <动作>POLICY，设置某个链的默认规则例如：iptables -P INPUT DROP设置 filter 表 INPUT 链的默认规则是 DROP注意：当数据包没有被规则列表里的任何规则匹配到时，按此默认规则处理3.2.6 -F-F [链名]FLUSH，清空规则例如：iptables -F INPUT清空 filter 表 INPUT 链中的所有规则iptables -t nat -F PREROUTING清空 nat 表 PREROUTING 链中的所有规则注意：1、-F 仅仅是清空链中规则，并不影响 -P 设置的默认规则2、-P 设置了 DROP 后，使用 -F 一定要小心！！！3、如果不写链名，默认清空某表里所有链里的所有规则3.2.7 -[vxn]L-L [链名]LIST，列出规则v：显示详细信息，包括每条规则的匹配包数量和匹配字节数x：在 v 的基础上，禁止自动单位换算（K、M）n：只显示 IP 地址和端口号码，不显示域名和服务名称例如：iptables -L粗略列出 filter 表所有链及所有规则iptables -t nat -vnL用详细方式列出 nat 表所有链的所有规则，只显示 IP 地址和端口号iptables -t nat -vxnL PREROUTING用详细方式列出 nat 表 PREROUTING 链的所有规则以及详细数字，不反解3.3 匹配条件}流入、流出接口（-i、-o）}来源、目的地址（-s、-d）}协议类型（-p）}来源、目的端口（--sport、--dport）3.3.1 按网络接口匹配-i <匹配数据进入的网络接口>例如：-i eth0匹配是否从网络接口 eth0 进来-i ppp0匹配是否从网络接口 ppp0 进来-o 匹配数据流出的网络接口例如：-o eth0-o ppp03.3.2 按来源目的地址匹配-s <匹配来源地址>可以是 IP、NET、DOMAIN，也可空（任何地址）例如：-s 192.168.0.1 匹配来自 192.168.0.1 的数据包-s 192.168.1.0/24 匹配来自 192.168.1.0/24 网络的数据包-s 192.168.0.0/16 匹配来自 192.168.0.0/16 网络的数据包-d <匹配目的地址>可以是 IP、NET、DOMAIN，也可以空例如：-d 202.106.0.20 匹配去往 202.106.0.20 的数据包-d 202.106.0.0/16 匹配去往 202.106.0.0/16 网络的数据包-d 匹配去往域名的数据包3.3.3 按协议类型匹配-p <匹配协议类型>可以是 TCP、UDP、ICMP 等，也可为空例如：-p tcp-p udp-p icmp --icmp-type 类型ping: type 8 pong: type 03.3.4 按来源目的端口匹配--sport <匹配源端口>可以是个别端口，可以是端口范围例如：--sport 1000 匹配源端口是 1000 的数据包--sport 1000:3000 匹配源端口是 1000-3000 的数据包（含1000、3000） --sport :3000 匹配源端口是 3000 以下的数据包（含 3000）--sport 1000: 匹配源端口是 1000 以上的数据包（含 1000）--dport <匹配目的端口>可以是个别端口，可以是端口范围例如：--dport 80 匹配源端口是 80 的数据包--dport 6000:8000 匹配源端口是 6000-8000 的数据包（含6000、8000） --dport :3000 匹配源端口是 3000 以下的数据包（含 3000）--dport 1000: 匹配源端口是 1000 以上的数据包（含 1000）注意：--sport 和 --dport 必须配合 -p 参数使用3.3.5 匹配应用举例1、端口匹配-p udp --dport 53匹配网络中目的地址是 53 的 UDP 协议数据包2、地址匹配-s 10.1.0.0/24 -d 172.17.0.0/16匹配来自 10.1.0.0/24 去往 172.17.0.0/16 的所有数据包3、端口和地址联合匹配注意：1、--sport、--dport 必须联合 -p 使用，必须指明协议类型是什么2、条件写的越多，匹配越细致，匹配范围越小3.4 动作（处理方式）}ACCEPT}DROP}SNAT}DNAT}MASQUERADE3.4.1 -j ACCEPT-j ACCEPT通过，允许数据包通过本链而不拦截它类似 Cisco 中 ACL 里面的 permit例如：iptables -A INPUT -j ACCEPT允许所有访问本机 IP 的数据包通过3.4.2 -j DROP-j DROP丢弃，阻止数据包通过本链而丢弃它类似 Cisco 中 ACL 里的 deny例如：iptables -A FORWARD -s 192.168.80.39 -j DROP阻止来源地址为 192.168.80.39 的数据包通过本机3.4.3 -j SNAT-j SNAT --to IP[-IP][:端口-端口]（nat 表的 POSTROUTING 链）源地址转换，SNAT 支持转换为单 IP，也支持转换到 IP 地址池（一组连续的 IP 地址）例如：iptables -t nat -A POSTROUTING -s 192.168.0.0/24 \-j SNAT --to 1.1.1.1将内网 192.168.0.0/24 的原地址修改为 1.1.1.1，用于 NATiptables -t nat -A POSTROUTING -s 192.168.0.0/24 \-j SNAT --to 1.1.1.1-1.1.1.10同上，只不过修改成一个地址池里的 IP3.4.4 -j DNAT（一组连续的 IP 地址）例如：iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \-j DNAT --to 192.168.0.1把从 ppp0 进来的要访问 TCP/80 的数据包目的地址改为 192.168.0.1iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \-j DNAT --to 192.168.0.2:80iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \-j DNAT --to 192.168.0.1-192.168.0.103.4.5 -j MASQUERADE-j MASQUERADE动态源地址转换（动态 IP 的情况下使用）例如：iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE 将源地址是 192.168.0.0/24 的数据包进行地址伪装3.5 附加模块}按包状态匹配（state）}按来源 MAC 匹配（mac）}按包速率匹配（limit）}多端口匹配（multiport）3.5.1 state-m state --state 状态状态：NEW、RELATED、ESTABLISHED、INV ALIDNEW：有别于 tcp 的 synESTABLISHED：连接态RELATED：衍生态，与 conntrack 关联（FTP）INV ALID：不能被识别属于哪个连接或没有任何状态例如：iptables -A INPUT -m state --state RELATED,ESTABLISHED \ -j ACCEPT3.5.2 mac-m mac --mac-source MAC匹配某个 MAC 地址例如：iptables -A FORWARD -m --mac-source xx:xx:xx:xx:xx:xx \-j DROP阻断来自某 MAC 地址的数据包，通过本机MAC 地址不过路由，不要试图去匹配路由后面的某个 MAC 地址3.5.3 limit-m limit --limit 匹配速率 [--burst 缓冲数量]用一定速率去匹配数据包例如：iptables -A FORWARD -d 192.168.0.1 -m limit --limit 50/s \-j ACCEPTiptables -A FORWARD -d 192.168.0.1 -j DROP注意：limit 仅仅是用一定的速率去匹配数据包，并非“限制”3.5.4 multiport-m multiport <--sports|--dports|--ports> 端口1[,端口2,..,端口n]一次性匹配多个端口，可以区分源端口，目的端口或不指定端口例如：iptables -A INPUT -p tcp -m multiports --ports \21,22,25,80,110 -j ACCEPT注意：必须与 -p 参数一起使用4. 实例分析}单服务器的防护}如何做网关}如何限制内网用户}内网如何做对外服务器}连接追踪模块4.1 单服务器的防护}弄清对外服务对象}书写规则网络接口 lo 的处理状态监测的处理协议 + 端口的处理实例：一个普通的 web 服务器iptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -p tcp -m multiport 22,80 -j ACCEPTiptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P INPUT DROP注意：确保规则循序正确，弄清逻辑关系，学会时刻使用 -vnL4.2 如何做网关}弄清网络拓扑}本机上网}设置 nat启用路由转发地址伪装 SNAT/MASQUERADE实例：ADSL 拨号上网的拓扑echo "1" > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 \-j MASQUERADE4.3 如何限制内网用户}过滤位置 filer 表 FORWARD 链}匹配条件-s -d -p --s/dport}处理动作 ACCEPT DROP实例：iptables -A FORWARD -s 192.168.0.3 -j DROPiptables -A FORWARD -m mac --mac-source 11:22:33:44:55:66 \ -j DROPiptables -A FORWARD -d -j DROP4.4 内网如何做对外服务器}服务协议（TCP/UDP）}对外服务端口}内部服务器私网 IP}内部真正服务端口实例：iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 \-j DNAT --to 192.168.1.1iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 81 \-j DNAT --to 192.168.1.2:804.5 连接追踪模块}为什么要使用连接追踪模块FTP 协议的传输原理传统防火墙的做法}如何使用4.5.1 FTP 协议传输原理}使用端口command portdata port主动模式（ACTIVE）被动模式（PASSIVE）主动模式client serverxxxx |---|----------|-->| 21yyyy |<--|----------|---| 20FW1 FW2被动模式client serverxxxx |---|----------|--->| 21yyyy |---|----------|--->| zzzzFW1 FW24.5.2 传统防火墙的做法}只使用主动模式，打开 TCP/20}防火墙打开高范围端口}配置 FTP 服务，减小被动模式端口范围4.5.3 如何使用连接追踪模块modprobe ipt_conntrack_ftpmodprobe ipt_nat_ftpiptables -A INPUT -p tcp --dport 21 -j ACCEPTiptables -A INPUT -m state --state \RELATED,ESTABLISHED -j ACCEPTiptables -P INPUT DROP5. 网管策略}怕什么}能做什么}让什么 vs 不让什么}三大“纪律”五项“注意”}其他注意事项5.1 必加项echo "1" > /proc/sys/net/ipv4/ip_forwardecho "1" > /proc/sys/net/ipv4/tcp_syncookiesecho "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses modprobe ip_conntrack_ftpmodprobe ip_nat_ftp5.2 可选方案堵：iptables -A FORWARD -p tcp --dport xxx -j DROPiptables -A FORWARD -p tcp --dport yyy:zzz -j DROP通：iptables -A FORWARD -p tcp --dport xxx -j ACCEPTiptables -A FORWARD -p tcp --dport yyy:zzz -j ACCEPTiptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -P FORWARD DROP5.3 三大“纪律”五项“注意”}三大“纪律”——专表专用filternatmangle}五项“注意”——注意数据包的走向PREROUTINGINPUTFORWARDOUTPUTPOSTROUTING5.4 其他注意事项}养成好的习惯iptables -vnLiptables -t nat -vnLiptables-save}注意逻辑顺序iptables -A INPUT -p tcp --dport xxx -j ACCEPTiptables -I INPUT -p tcp --dport yyy -j ACCEPT}学会写简单的脚本6. FAQ.1Q：我设置了iptables -A OUTPUT -d 202.xx.xx.xx -j DROP为何内网用户还是可以访问那个地址？A：filter 表的 OUTPUT 链是本机访问外面的必经之路，内网数据不经过该链Q：我添加了iptables -A FORWARD -d 202.xx.xx.xx -j DROP为何内网用户还是可以访问那个地址？A：检查整个规则是否存在逻辑错误，看是否在 DROP 前有 ACCEPTQ：iptables -t nat -A POSTROUTING -i eth1 -o eth2 -j MASQUERADE 这条语句为何报错？A：POSTROUTING 链不支持“流入接口” -i 参数同理，PREROUTING 链不支持“流出接口” -o 参数6. FAQ.2Q：我应该怎么查看某个模块具体该如何使用？A：ipitables -m 模块名 -hQ：执行iptables -A FORWARD -m xxx -j yyy提示iptables: No chain/target/match by that nameA：/lib/modules/`uname -r`/kernel/net/ipv4/netfilter 目录中，缺少与 xxx 模块有关的文件，或缺少与 yyy 动作有关的文件名字为 ipt_xxx.o（2.4内核）或 ipt_yyy.ko（2.6内核）Q：脚本写好了，内网上网没问题，FTP 访问不正常，无法列出目录，为什么？A：缺少 ip_nat_ftp 这个模块，modprobe ip_nat_ftp7. 实战17. 实战.2。