1、SNAT:源地址轉換
實現內網訪問外網,修改IP地址,使用POSTROUTING
命令:iptables -t nat -A POSTROUTING -s 192.168.1.10/24 -j SNAT --to-source 202.1.1.1
2、MASQUERADE:地址僞裝
適用於外網ip地址非固定的情況
將SNAT規則改爲MASQUERADE即可
命令:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
3、DNAT:目標地址轉換
實現發佈公司內部服務器,修改目標地址,使用PREROUTING
命令:iptables -t nat -A PREROUTING -d 202.1.1.1 -p tcp --dport 8080 -j DNAT -to 192.168.1.100:80
4、備份和還原規則:
備份:
1)iptables-save > 文件
導出到指定文件
2)service iptables save
導出到/etc/sysconfig/iptables
重啓自動加載
還原:
1)iptables-restore < 文件名
2)service iptables restart
從默認文件/etc/sysconfig/iptables還原
5、iptables腳本編寫
1)定義變量
2)加載必要的模塊
modprobe ip_nat_ftp ftp地址轉換模塊
modprobe ip_conntrack_ftp ftp連接狀態跟蹤
lsmod 查看已加載的模塊
3)調整內核參數:
啓用內核轉發功能:有三種方式(詳見第十章筆記的第8點)
4)編寫防火牆的規則
6、防火牆的類型:
主機型防火牆:針對本機進行保護,使用filter表中的INPUT、OUTPUT鏈
網絡型防火牆:對內、外網轉發進行保護,使用filter表中FORWARD鏈