防火墙 NAT与Iptables

iptables是 Linux 下用于配置 IPv4 数据包过滤规则的工具，可以用于设置防火墙规则、NAT 规则等。

以下是iptables的基本配置语法和一些常见用法：1. 基本语法：iptables的基本语法为：2. 常用选项：▪-A：向规则链的末尾添加规则。

▪-I：在规则链的指定位置插入规则。

▪-D：从规则链中删除规则。

▪-L：列出规则链的所有规则。

▪-P：设置规则链的默认策略。

▪-F：清除规则链中的所有规则。

▪-N：创建新的用户自定义规则链。

3. 规则链：▪INPUT：处理输入数据包。

▪OUTPUT：处理输出数据包。

▪FORWARD：处理通过系统的数据包。

▪PREROUTING：在路由之前处理数据包。

▪POSTROUTING：在路由之后处理数据包。

4. 规则匹配条件：▪-s：源 IP 地址。

▪-d：目标 IP 地址。

▪-p：协议（如 tcp、udp、icmp）。

▪--sport：源端口。

▪--dport：目标端口。

5. 动作：▪-j ACCEPT：接受数据包。

▪-j DROP：丢弃数据包。

▪-j REJECT：拒绝数据包。

6. 例子：▪允许所有对本机的访问：▪允许本机对外的访问：▪允许已建立的连接通过：▪拒绝从指定 IP 地址访问本机：7. 保存规则：8. 永久生效：这些是基本的iptables配置语法和用法，实际配置中可能会涉及更复杂的规则和链，具体的规则设置要根据你的网络需求和安全策略来定制。

建议在修改防火墙规则前确保对其影响有充分的了解，并在远程环境中谨慎操作，以免失去远程连接。

浅谈系统防火墙摘要：介绍防火墙分类及其防火墙对数据过滤的简单规则，并以iptables为例，介绍基于linux操作系统的一种防火墙设置。

关键词：防火墙包过滤 nat iptables1．引言随着internet的迅速发展，现代人进入了网络时代，它给人们的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精神空缺；而与此同时给人们带来了一个日益严峻的问题——网络安全。

网络的安全性成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。

随着科技的发展，防火墙也逐渐被大众所接受，并成为计算机网络不可缺少的重要组成部分。

2．防火墙的定义所谓防火墙(firewall)指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法。

它在internet与intranet之间建立起一个安全网关(security gateway)，对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行，从而保护内部网免受非法用户的侵入。

防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成。

目前有商用版本的防火墙，也有完全免费和公开源代码的防火墙。

3．防火墙的基本分类3.1、包过滤防火墙第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则，这称为包过滤防火墙。

本质上，包过滤防火墙是多址的，表明它有两个或两个以上网络适配器或接口。

例如，作为防火墙的设备可能有两块网卡(nic)，一块连到内部网络，一块连到公共的internet。

防火墙的任务，就是作为”通信警察”，指引包和截住那些有危害的包。

3.2、状态励态检测防火墙状态／动态检测防火墙，试图跟踪通过防火墙的网络连接和包，这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。

Linux1 防火墙iptables基本语法如果想要灵活的运用iptables来加固系统安全的话，就必须熟练的掌握iptables 的语法格式，其语法格式如下所示。

iptables [-t 表] -命令-匹配-j 动作/目标1．表选项iptables内置了filter、nat、和mangle3张表，-t参数用来设置对哪张表生效。

如，对mangle表设置规则的话，可以在-t参数后面加上mangle（-t参数可以省略，如果省略-t参数表示对filter表进行操作），其格式为：iptables -t mangle -命令-匹配-j 动作/目标。

●filterFilter表用来过滤数据包，在该表中根据包的内容对包做DROP（拒绝）或ACCEPT （允许）。

在该表中有INPUT、OUTPUT和FORWARD链。

其中INPUT链是用于处理入站数据包的规则，所有入站的数据包的规则都将被添加到INPUT链中；OUTPUT链是用于处理出站数据包的规则；FORW ARD链用于处理正在转发的数据包的规则。

●natNat表主要用于转发数据包，即NAT（网络地址转换）。

该表中包含PREROUTING 和POSTOUTING链。

主要进行一对一、一对多和多对多等地址转换工作。

根据转换特性可分为SNAT（源网络地址转换）和DNAT（目的网络地址转换）。

进行了源网络地址转换的数据包就不需要进行目的地址转换，反之亦然。

●mangleMangle表包含一些规则来标记用于高级路由的数据包，如果数据包及其包头内容进行了任何更改，就可以使用mangle表。

其可以改变不同的包及包头的内容，比如TTL、TOS、或MARK。

实际上，MARK并没有真正地改动数据包，其只是在内核空间中为包设置一个标记。

该表共有中有5个内建的链：PREROUTING、POSTOUTING、INPUT、OUTPUT和FORWARD。

2．命令选项命令选项是指定对提交的规则要做什么样的操作，如添加/删除规则或者查看规则列表等。

iptables 配置nat masquerade规则iptables是Linux操作系统中一个重要的防火墙软件，它可以用来配置和管理网络数据包的转发和过滤规则。

其中一项常见的配置是nat masquerade规则，用于实现网络地址转换（Network Address Translation，NAT），将内部局域网的私有IP地址转换为公共IP地址，实现内网与外网的通信。

本文将逐步解释iptables配置nat masquerade 规则的步骤和原理。

第一步：了解nat masquerade的原理在深入了解iptables配置nat masquerade规则之前，我们首先需要了解nat masquerade的原理。

当内部局域网上的设备通过路由器连接到互联网时，由于内网使用的是私有IP地址，而互联网上使用的是公共IP地址，所以需要进行地址转换。

nat masquerade将内部局域网的私有IP 地址转换为路由器的公共IP地址，使得内网设备可以正常访问互联网。

第二步：确认系统中是否已安装iptables在开始配置nat masquerade规则之前，我们需要确认系统中是否已经安装了iptables。

可以通过在终端执行以下命令来检查：shelliptables -V如果系统已安装iptables，将显示出iptables的版本号和其他信息。

如果系统未安装iptables，可以通过以下命令来安装：shellsudo apt-get install iptables请根据使用的Linux发行版选择相应的命令。

第三步：创建一个新的iptables链接下来，我们需要创建一个新的iptables链来存储nat masquerade规则。

可以使用以下命令创建一个名为"MASQUERADE"的新链：shellsudo iptables -t nat -N MASQUERADE这将在iptables的nat表中创建一个新的自定义链。

iptables 删除nat指定规则iptables是一个用于Linux操作系统上配置防火墙规则的工具。

通过使用iptables，可以设置规则来过滤、转发和修改网络数据包。

其中，nat表是iptables的一个重要表，用于进行网络地址转换。

在某些情况下，我们可能需要删除nat表中的某个指定规则。

删除规则可以帮助我们重新调整防火墙的配置，以满足特定的需求。

接下来，我们将介绍如何使用iptables删除nat表中的指定规则。

我们需要了解nat表中规则的结构。

每个nat规则由一系列匹配条件和一个动作组成。

匹配条件用于确定是否应该应用该规则，而动作则指定了要对匹配的数据包执行的操作。

在删除规则之前，我们需要知道要删除的规则的匹配条件和动作。

要删除nat表中的指定规则，我们可以使用以下命令：```iptables -t nat -D <chain> <rule-specification>```其中，`-t nat`参数用于指定要操作的表为nat表，`-D`参数表示删除规则。

`<chain>`是要删除规则所在的链的名称，例如PREROUTING、POSTROUTING等。

`<rule-specification>`是要删除的规则的具体内容。

为了更好地理解如何删除nat表中的指定规则，我们来看一个示例。

假设我们的防火墙规则中有一个nat规则，用于将外部访问的TCP 数据包转发到内部服务器的指定端口。

该规则的匹配条件为外部访问的源IP地址和目标端口，动作为进行端口转发。

现在，我们希望删除这个规则。

我们需要确定该规则所在的链的名称。

可以使用以下命令来列出nat表中的所有链：```iptables -t nat -L```在输出中找到包含该规则的链的名称。

假设该规则在PREROUTING链中。

然后，我们需要确定要删除的规则的具体内容。

可以使用以下命令来列出PREROUTING链中的所有规则：```iptables -t nat -L PREROUTING```在输出中找到要删除的规则，并记下其内容。

Linux命令高级技巧使用iptables进行端口转发和NAT在Linux系统中，iptables是一个非常强大的工具，用于配置和管理网络包过滤规则。

除了基本的网络包过滤功能，iptables还可以用于端口转发和网络地址转换(NAT)。

本文将介绍如何使用iptables进行端口转发和NAT，以及一些高级技巧。

1. 端口转发端口转发是一种将网络流量从一个端口转发到另一个端口的技术。

它在网络中广泛应用于代理服务器、端口映射、负载均衡等场景。

下面是使用iptables进行端口转发的示例命令：```iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.100:80```在上述命令中，`-t nat`表示我们要操作的是`nat`表，`-A PREROUTING`表示将规则添加到`PREROUTING`链中，`-p tcp --dport 8080`表示匹配TCP协议和目标端口号8080，`-j DNAT`表示采取目标网络地址转换，`--to-destination 192.168.0.100:80`表示将数据包转发到目标IP地址192.168.0.100的80端口。

2. 网络地址转换(NAT)网络地址转换(NAT)是一种将私有网络中的IP地址转换为公共网络中的IP地址的技术。

它广泛应用于家庭网络和企业网络中，允许多台设备共享一个公共IP地址。

下面是使用iptables进行NAT的示例命令：```iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE```在上述命令中，`-t nat`表示我们要操作的是`nat`表，`-A POSTROUTING`表示将规则添加到`POSTROUTING`链中，`-s192.168.0.0/24`表示源IP地址为192.168.0.0/24的网络，`-o eth0`表示出去的网络接口为eth0，`-j MASQUERADE`表示使用动态地址转换。

Linux iptables防火墙设置与NAT服务配置摘要：linux教程,NAT服务器,iptables防火墙设置与NAT服务配置, 防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。

一.防火墙的概述(一).防火墙的简介防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它能增强机构内部网络的安全性。

它通过访问控制机制，确定哪些内部服务允许外部访问，以及允许哪些外部请求可以访问内部服务。

它可以根据网络传输的类型决定IP包是否可以传进或传出内部网。

防火墙通过审查经过的每一个数据包，判断它是否有相匹配的过滤规则，根据规则的先后顺序进行一一比较，直到满足其中的一条规则为止，然后依据控制机制做出相应的动作。

如果都不满足，则将数据包丢弃，从而保护网络的安全。

通过使用防火墙可以实现以下功能：可以保护易受攻击的服务；控制内外网之间网络系统的访问；集中管理内网的安全性，降低管理成本；提高网络的保密性和私有性；记录网络的使用状态，为安全规划和网络维护提供依据。

(二).防火墙的分类防火墙技术根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤防火墙和代理服务器两种类型。

(三).防火墙的工作原理1．包过滤防火墙工作原理①数据包从外网传送到防火墙后，防火墙抢在IP层向TCP层传送前，将数据包转发给包检查模块进行处理。

②首先与第一个过滤规则比较。

③如果与第一个模块相同，则对它进行审核，判断是否转发该数据包，这时审核结果是转发数据包，则将数据包发送到TCP层进行处理，否则就将它丢弃。

④如果与第一个过滤规则不同，则接着与第二个规则相比较，如果相同则对它进行审核，过程与③相同。

⑤如果与第二个过滤规则不同，则继续与下一个过滤规则比较，直到与所有过滤规则比较完成。

要是所有过滤规则都不满足，就将数据包丢弃。

2．代理服务型防火墙工作原理代理服务型防火墙是在应用层上实现防火墙功能的。

iptables 删除nat规则iptables是一个在Linux系统上用于配置网络防火墙的工具，它可以通过添加、修改和删除规则来控制数据包的流动。

在网络中，NAT（Network Address Translation）是一种将私有IP地址转换为公共IP地址的技术，它可以实现多台计算机共享一个公网IP地址。

本文将介绍如何使用iptables删除NAT规则。

要删除NAT规则，需要使用iptables命令的“-t nat”选项来指定操作的表为nat表。

下面是删除NAT规则的具体步骤：步骤一：查看当前的NAT规则在删除NAT规则之前，首先需要查看当前系统中已经存在的NAT 规则。

可以使用以下命令来查看：```shelliptables -t nat -L```该命令会列出当前系统中nat表中的所有规则，包括PREROUTING、POSTROUTING和OUTPUT链中的规则。

通过查看当前的NAT规则，可以确定需要删除的规则的编号或者规则的具体内容。

步骤二：删除指定的NAT规则要删除指定的NAT规则，可以使用以下命令：```shelliptables -t nat -D [CHAIN] [RULE NUMBER]```其中，[CHAIN]是要删除规则所在的链的名称，可以是PREROUTING、POSTROUTING或者OUTPUT；[RULE NUMBER]是要删除的规则的编号。

例如，要删除PREROUTING链中的第一条规则，可以使用以下命令：```shelliptables -t nat -D PREROUTING 1```步骤三：保存修改后的规则在删除NAT规则之后，需要保存修改后的规则，以便系统重启后能够自动加载。

可以使用以下命令来保存规则：```shelliptables-save > /etc/sysconfig/iptables```该命令将当前的iptables规则保存到/etc/sysconfig/iptables文件中。

iptables删除nat规则iptables是Linux最常用的防火墙机制，它允许用户对网络流量进行控制和管理。

在使用iptables时，可以定义一组规则，以便过滤所有网络连接，而nat（network address translation）规则可以让网络中的一台电脑具有多个不同的IP，而不是每一台都有唯一的IP。

由于nat规则是iptables里面最复杂的规则，在处理这种规则时，经常出现一些错误和混乱。

有时，您可能需要删除已存在的nat 规则，用新的nat规则替换它们。

要完成这项任务，您必须先熟悉iptables的一些基本概念。

首先，让我们来看看iptables的架构。

iptables通过使用电脑上的内核模块来处理所有的网络流量，这些模块是根据已经创建的表和规则来运行的。

这些表是packet-filtering、nat、mangle和raw。

其中，nat表是用来处理nat规则的表。

它位于包转换表之后，在nat表上可以定义规则，以便更改网络中的信息报文，比如改变报文的源IP地址、目标IP地址等。

要删除某条nat规则，首先需要确认它的编号，可以使用命令iptables -t nat -L来列出所有的规则，并对每一条规则指定编号。

然后，可以使用命令iptables -t nat -D则编号>来删除这条nat规则。

接下来，需要用新的nat规则替换原有的规则。

iptables支持多种不同的规则，比如路由模式，虚拟服务器模式，端口转发模式等。

根据不同的需求，使用不同的规则来处理。

路由模式是最简单的nat规则，它只允许本地网络中的一台电脑访问外部网络。

定义路由模式的nat规则非常简单，只需要使用命令iptables -t nat -A POSTROUTING -s网络IP地址> -d标网络IP地址> -j SNAT --to标外部IP地址>即可。

虚拟服务器模式是一种流行的nat规则，它可以让多台电脑同时访问一个外部IP地址，而不需要为每台电脑单独申请一个外部IP地址。

linux防火墙iptables常用规则(屏蔽IP地址、禁用ping、协议设置、NAT与转发、负载平衡、自定义链)一、iptables：从这里开始删除现有规则iptables -F(OR)iptables --flush设置默认链策略iptables的filter表中有三种链：INPUT, FORWARD和OUTPUT。

默认的链策略是ACCEPT，你可以将它们设置成DROP。

iptables -P INPUT DROPiptables -P FORWARD DROPiptables -P OUTPUT DROP你需要明白，这样做会屏蔽所有输入、输出网卡的数据包，除非你明确指定哪些数据包可以通过网卡。

屏蔽指定的IP地址以下规则将屏蔽BLOCK_THIS_IP所指定的IP地址访问本地主机：BLOCK_THIS_IP="x.x.x.x"iptables -A INPUT -i eth0 -s "$BLOCK_THIS_IP" -j DROP (或者仅屏蔽来自该IP的TCP数据包）iptables -A INPUT -i eth0 -p tcp -s "$BLOCK_THIS_IP" -j DROP允许来自外部的ping测试iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT允许从本机ping外部主机iptables -A OUTPUT -p icmp --icmp-type echo-request -jACCEPTiptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT允许环回(loopback)访问iptables -A INPUT -i lo -j ACCEPTiptables -A OUTPUT -o lo -j ACCEPT二、iptables：协议与端口设定允许所有SSH连接请求本规则允许所有来自外部的SSH连接请求，也就是说，只允许进入eth0接口，并且目的端口为22的数据包iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPTiptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state--state ESTABLISHED -j ACCEPT允许从本地发起的SSH连接本规则和上述规则有所不同，本规则意在允许本机发起SSH 连接，上面的规则与此正好相反。

高级技巧使用iptables进行端口转发与NAT配置使用iptables进行端口转发与NAT配置是网络管理中常见的高级技巧。

本文将介绍iptables的基本概念和配置方法，并详细讲解如何使用iptables进行端口转发和NAT配置。

一、iptables概述iptables是Linux操作系统中用于管理网络数据包的工具。

它可以根据预设的规则对进出的数据包进行过滤、修改和重定向等操作。

iptables使用规则链（rule chain）来组织规则，并根据规则链的顺序逐一检查数据包。

根据规则链的配置不同，iptables可以实现防火墙、端口转发和网络地址转换（NAT）等功能。

二、端口转发端口转发是指将网络数据包从一个端口转发到另一个端口。

使用iptables进行端口转发时，首先需要开启网络包转发功能，命令如下：```echo 1 > /proc/sys/net/ipv4/ip_forward```接下来，使用iptables设置端口转发规则，命令如下：```iptables -t nat -A PREROUTING -p tcp --dport 源端口 -j DNAT --to-destination 目标IP:目标端口```其中，-t nat表示使用nat表，-A PREROUTING表示在数据包进入路由之前进行转发，-p tcp表示转发TCP协议的数据包，--dport指定源端口，-j DNAT表示进行目标地址转换，--to-destination指定目标IP和端口。

三、NAT配置NAT配置是指将私有网络中的IP地址转换为公网IP地址，使内部网络可以访问外部网络。

使用iptables进行NAT配置时，需要开启网络地址转换功能，命令如下：```echo 1 > /proc/sys/net/ipv4/ip_forward```然后，设置NAT规则，命令如下：```iptables -t nat -A POSTROUTING -s 内网IP/子网掩码 -j SNAT --to-source 公网IP```其中，-t nat表示使用nat表，-A POSTROUTING表示在数据包离开网关之前进行转发，-s指定源IP地址范围，-j SNAT表示进行源地址转换，--to-source指定公网IP。

iptables 配置nat masquerade规则-回复如何在iptables中配置nat masquerade规则。

第一步：了解NAT和Masquerade的概念和功能在开始配置iptables之前，我们首先需要了解NAT（Network Address Translation）和Masquerade（伪装）的概念和功能。

NAT是一种网络地址转换技术，它允许将私有IP地址转换为公有IP地址，从而实现内部网络与外部网络之间的通信。

NAT的作用是解决IPv4地址不足的问题，并且可以提高网络安全性，因为它隐藏了内部网络的真实IP 地址。

Masquerade是NAT的一种特殊形式，其中NAT规则是动态创建的。

当一个数据包出去时，Masquerade规则会自动将源IP地址替换为外部接口的IP地址，并将其映射回答数据包的源地址。

这样，只有一个公共IP 地址可以代表整个内部网络。

第二步：确定启用NAT和Masquerade功能的必要性在开始配置之前，需要确定是否需要启用NAT和Masquerade功能。

在许多情况下，这两个功能是必需的，例如：1. 当内部网络中的计算机需要通过Internet访问外部资源时，需要使用NAT和Masquerade功能。

由于内部网络使用的是私有IP地址，所以需要将其转换为公共IP地址，以便与外部网络通信。

2. 如果您有多个内部网络（例如，它们使用不同的子网），并且您想要使用一个公共IP地址代表这些内部网络，那么您需要使用NAT和Masquerade功能来实现这一目标。

第三步：进入iptables配置界面在Linux系统中，我们可以使用iptables命令来配置防火墙规则，包括NAT和Masquerade规则。

首先，我们需要进入iptables配置界面。

在大多数Linux发行版中，可以使用以下命令进入iptables配置界面：sudo iptables -t nat -I PREROUTING -p tcp dport 80 -j DNATto-destination 192.168.1.2:80此命令打开了一个加入PREROUTING 链的规则，匹配来自任何源IP地址、任何TCP目标端口为80的数据包，并将其目标更改为192.168.1.2:80。

linux nat实现方式标题：Linux NAT实现方式引言：在计算机网络中，网络地址转换（Network Address Translation，NAT）是一种常见的网络技术，用于将私有IP地址与公共IP地址进行转换，以实现局域网内主机与外部网络的通信。

本文将介绍Linux下实现NAT的几种方式，以及它们的优缺点。

一、IPTables NAT1. IPTables是Linux上常用的防火墙工具，它可以通过配置NAT规则实现地址转换。

在IPTables中，可以使用以下命令开启NAT功能： iptables -t nat -A POSTROUTING -o <外网接口> -j MASQUERADE这条规则将对通过外网接口出去的数据包进行源地址伪装，使得回应数据包能够正确返回。

2. IPTables NAT的优点是简单易用，且性能较高。

它可以根据需要配置不同的转换规则，具有较强的灵活性。

3. 然而，IPTables NAT也存在一些缺点。

例如，它只能在内核层面进行地址转换，无法处理应用层的协议。

此外，配置复杂的NAT规则可能会导致性能下降。

二、IPFWADM NAT1. IPFWADM是Linux早期版本中使用的一种防火墙工具，它也支持NAT功能。

在IPFWADM中，可以使用以下命令开启NAT功能：ipfwadm -F -p masq -a2. IPFWADM NAT的优点是配置简单，适合于一些简单的场景。

它的性能也相对较好，适合于低负载环境。

3. 然而，IPFWADM NAT已经逐渐被IPTables所取代，使用较少，功能相对有限。

三、NAT Network Namespace1. Network Namespace是Linux内核提供的一种机制，可以将网络资源隔离在不同的命名空间中。

通过创建多个Network Namespace，并配置相应的NAT规则，可以实现不同命名空间之间的地址转换。

Linux1 防火墙iptables防火墙NAT简介及配置防火墙可分为几种不同的安全等级。

在Linux中，由于有许多不同的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的保护能力。

不过，Linux核心本身内建了一种称作"伪装"的简单机制NAT（网络地址转换），除了可以抵挡住绝大部分的攻击行动，还可以抵挡专门的黑客攻击。

1．NAT简介NA T（网络地址装换）可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。

NAT路由器在将内部网络的数据包发送到公用网络时，在IP包的报头把私有地址转换成合法的IP地址。

2．NAT的工作原理：当内部网络中的一台主机想传输数据到外部网络时，其先将数据包传输到iptables服务器上，服务器检查数据包的报头，获取该数据包的源IP信息，并从它的NA T映射表中找出与该IP匹配的转换条目，用所选用的内部全局地址来替换内部局部地址，并转发数据包。

当外部网络对内部主机进行应答时，数据包被送到iptables服务器上，服务器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过NA T映射表查找出内部局部地址，然后将数据包的目的地址替换成内部局部地址，并将数据包转发到内部主机。

提示内部局部地址：在内部网络中分配给主机的私有IP地址。

内部全局地址：一个合法的IP地址，它对外代表一个或多个内部局部IP地址。

外部全局地址：由其所有者给外部网络上的主机分配的IP地址。

外部局部地址：外部主机在内部网络中表现出来的IP地址。

3．使用iptables配置NAT●NAT表需要的3个链PREROUTING可以在这里定义进行目的NA T的规则，因为路由器进行路由时只检查数据包的目的ip地址，所以为了使数据包得以正确路由，我们必须在路由之前就进行目的NAT。

POSTROUTING可以在这里定义进行源NA T的规则，系统在决定了数据包的路由以后在执行该链中的规则。

1.1)设定INPUT为ACCEPT1.2)设定OUTPUT为ACCEPT1.3)设定FORWARD为ACCEPT参考答案:iptables -P INPUT ACCEPTiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPT2)定制源地址访问策略2.1)接收来自192.168.0.3的IP访问2.2)拒绝来自192.168.0.0/24网段的访问参考答案:iptables -A INPUT -i eth0 -s 192.168.0.3 -j ACCPETiptables -A INPUT -i eth0 -s 192.168.0.0/24 -j DROP3)目标地址192.168.0.3的访问给予记录,并查看/var/log/message参考答案:iptables -A INPUT -s 192.168.0.3 -j LOG4)定制端口访问策略4.1)拒绝任何地址访问本机的111端口4.2)拒绝192.168.0.0/24网段的1024-65534的源端口访问SSH参考答案:iptables -A INPUT -i eth0 -p tcp --dport 111 -j DROPiptables -A INPUT -i eth0 -p tcp -s 192.168.0.0/24 --sport 1024:65534 --dport ssh -j DROP 5)定制CLIENT端的防火墙访问状态5.1)清除所有已经存在的规则;5.2)设定预设策略,除了INPUT设为DROP,其他为ACCEPT;5.3)开放本机的lo可以自由访问;5.4)设定有相关的封包状态可以进入本机;参考答案:iptables -Fiptables -Xiptables -Ziptables -P INPUT DROPiptables -P OUTPUT ACCEPTiptables -P FORWARD ACCEPTiptables -A INPUT -i lo -j ACCEPTiptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state INV ALID -j DROP6)定制防火墙的MAC地址访问策略6.1)清除所以已经存的规则;6.2)将INPUT设为DROP6.3)将目标计算机的MAC设为ACCEPT参考答案:iptables -Xiptables -Ziptables -P INPUT DROPiptables -A INPUT -m mac --mac-source 00-C0-9F-79-E1-8A -j ACCEPT7)设定ICMP包，拒绝除192.168.6.0网段的所有ICMP数据包进入服务器参考答案:iptables -A INPUT -s ! 192.168.6.0 -p icmp -j DROP8)定制防火墙的NA T访问策略8.1)清除所有策略8.2)重置ip_forward为18.3)通过MASQUERADE设定来源于192.168.6.0网段的IP通过192.168.6.217转发出去8.4)通过iptables观察转发的数据包参考答案:iptables -Fiptables -Xiptables -Zecho "1" > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -s 192.168.6.0 -o 192.168.6.217 -j MASQUERADEiptables -L -nv9)定制防火墙的NA T访问策略9.1)清除所有NAT策略9.2)重置ip_forward为19.3)通过SNAT设定来源于192.168.6.0网段通过eth1转发出去9.4)用iptables观察转发的数据包参考答案:iptables -F -t natiptables -X -t natiptables -Z -t natecho "1" > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 192.168.6.217iptables -L -nv10)端口转发访问策略10.1)清除所有NA T策略10.2)重置ip_forward为110.3)通过DNAT设定为所有访问192.168.6.217的22端口，都访问到192.168.6.191的22端口10.4)设定所有到192.168.6.191的22端口的数据包都通过FORW ARD转发10.5)设定回应数据包,即通过NA T的POSTROUTING设定,使通讯正常参考答案:iptables -F -t natiptables -X -t natiptables -Z -t natecho "1" > /proc/sys/net/ipv4/ip_forwardiptables -t nat -A PREROUTING -d 192.168.6.217 -p tcp --dport 22 -j DNAT --to-destination 192.168.6.191:22iptables -A FORWARD -p tcp -d 192.168.6.191 --dport 22 -j ACCEPTiptables -t nat -I POSTROUTING -p tcp --dport 22 -j MASQUERADE本篇文章来源于Linux公社网站() 原文链接：/Linux/2009-06/20257p7.htm。