1、SNAT:源地址转换
实现内网访问外网,修改IP地址,使用POSTROUTING
命令:iptables -t nat -A POSTROUTING -s 192.168.1.10/24 -j SNAT --to-source 202.1.1.12、MASQUERADE:地址伪装
适用于外网ip地址非固定的情况
将SNAT规则改为MASQUERADE即可
命令:iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE3、DNAT:目标地址转换
实现发布公司内部服务器,修改目标地址,使用PREROUTING
命令:iptables -t nat -A PREROUTING -d 202.1.1.1 -p tcp --dport 8080 -j DNAT -to 192.168.1.100:804、备份和还原规则:
备份:
1)iptables-save > 文件
导出到指定文件
2)service iptables save
导出到/etc/sysconfig/iptables
重启自动加载
还原:
1)iptables-restore < 文件名
2)service iptables restart
从默认文件/etc/sysconfig/iptables还原
5、iptables脚本编写
1)定义变量
2)加载必要的模块
modprobe ip_nat_ftp ftp地址转换模块
modprobe ip_conntrack_ftp ftp连接状态跟踪
lsmod 查看已加载的模块
3)调整内核参数:
启用内核转发功能:有三种方式(详见第十章笔记的第8点)
4)编写防火墙的规则
6、防火墙的类型:
主机型防火墙:针对本机进行保护,使用filter表中的INPUT、OUTPUT链
网络型防火墙:对内、外网转发进行保护,使用filter表中FORWARD链
