LINUX笨鸟先飞服务配置之IPTABLES(防火墙)2/2

二、NAT IP地址转换

NAT 比较简单编写方式和编写filter表的格式几乎一样

举个例子来书比如我的IP地址是20.1.1.1 这个地址,如果其他人想通过我的计算机上网就需要把内网网段（192.168.1.0/24）转换成公网地址20.1.1.1这个地址进行访问！

但是在这之前需要开启一个内核的路由转发功能,否则内网用户无法通过服务器SNT来进行访问外网！

可以通过命令：[root@luotianshuai ~]# echo "1" > /proc/sys/net/ipv4/ip_forward (这个命令也是临时打开的)

如果想要开机自动启动的话需要修改配置文件：[root@luotianshuai ~]# vim /etc/sysctl.conf

修改里面的：net.ipv4.ip_forward = 0 把0改成1即可！！！！

然后开始配置NAT就可以例如：

[root@luotianshuai ~]# iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 20.1.1.1

把来自192.168.1.0/24 网段的数据包源地址改为20.1.1.1 OK SNA完成

[root@Linux ~]# iptables -nvL -t nat | grep SNAT

0 0 SNAT all -- * * 192.168.1.0/24 0.0.0.0/0 to:20.1.1.1

现在是192.168.1.0网段的客户机已经开始使通过这个Linux服务器上网了,我们可以通过FORWARD来进行限制例如：

[root@luotianshuai ~]# iptables -A FORWARD -s 192.168.1.123 -j DROP 来自原地址是192.168.1.123的数据包都会丢掉！！

[root@Linux ~]# iptables -nvL FORWARD

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 DROP all -- * * 192.168.1.123 0.0.0.0/0

这里还需要说下对于管理防火墙条目越少越好：可以方便查看和排错

这个看起来比较多但是可以通过多端口模块很少几条命令就可以！！

你可以直接删除掉INPUT里条目,我这里就剩下两条然后我使用多端口模块进行管理！

[root@Linux ~]# iptables -nvL

Chain INPUT (policy DROP 0 packets, 0 bytes)

pkts bytes target prot opt in out source destination

0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

47 3388 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

使用下面命令即可：

[root@Linux ~]# iptables -A INPUT -p tcp -m multiport --dport 21,22,80,53,110,25 -j ACCEPT

在查看一下防火墙列表：

[root@Linux ~]# iptables -nvL INPUT --line-numbers

Chain INPUT (policy DROP 14 packets, 1948 bytes)

num pkts bytes target prot opt in out source destination

1 0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0

2 600 44676 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED

3 0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 multiport dports 21,22,80,53,110,25

很简洁吧3条搞定！

本文出自 “震动心弦” 博客,请务必保留此出处http://shuainotebook.blog.51cto.com/1271282/758364

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!