client: 192.168.2.101
255.255.255.0
192.168.2.100
Firewall:
eth0 202.101.0.100 255.255.255.0 202.101.0.1
eth1 192.168.2.100 255.255.255.0
echo 1 > /proc/sys/net/ipv4/ip_forward #要使重啓有效還得修改/etc/sysctl.conf文件,將其中的“net.ipv4.ip_forward = 0”中的“0”改爲“1”。
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P FORWARD DROP
#以下兩規則令防火牆/網關之後的系統能夠進入內部網絡。網關把 LAN 節點的分組選路發送到它的目的地,通過 eth1 設備傳遞所有分組。
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
#以下規則設置路由轉發
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 202.101.0.100
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 202.101.0.100
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 202.101.0.100:80 #該規則指定 NAT 表使用內建的 PREROUTING 鏈來僅把進入的 HTTP 請求轉發到被列出的 IP 地址 202.101.0.100
iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT #如果你的 FORWARD 鏈的默認政策是 DROP,你就必須後補一條規則來允許轉發進入的 HTTP 請求,該規則允許把進入的 HTTP 請求從防火牆轉發到防火牆之後的 Apache HTTP 服務器服務器。
iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT #如果你的 FORWARD 鏈的默認政策是 DROP,你就必須後補一條規則來允許轉發進入的 HTTP 請求,該規則允許把進入的 HTTP 請求從防火牆轉發到防火牆之後的 Apache HTTP 服務器服務器。