七、SNAT源地址转换

·Source Network Address Translation

·修改数据包的源地址

·仅用于nat表的POSTROUTING链

Example：局域网共享公网IP上网

·配置的关键策略

→ 做完路由选择后，针对来自局域网、即将从外网接口发出去的数据包，将其源IP地址修改为

网关的公网IP地址

 # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 69.166.70.28

#局域网网段地址    外网接口    外网接口的IP地址

·MASQUERADE --- 地址伪装

→ 外网接口的IP地址不固定的情况

→ 将SNAT规则改为MASQUERADE

→ 对于ADSL拨号连接，接口可能为ppp+

 # iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

八、目标地址转换

·Destination Network Address Translation

·修改数据包德尔目标地址（IP、端口）

·仅用于nat表的PREROUTING、OUTPUT链

Example：发布位于内网的服务器

·配置的关键策略

→ 在路由选择之前，针对从外网接口收到的、访问本机公网地址TCP/udp xx端口的数据包，将其目

标地址修改为位于内网的相应主机的IP地址

a、发布Web服务

 # iptables -t nat -A PREROUTING -i eth1 -d 69.166.70.28 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.100

#外网接口的IP地址    内网Web主机的IP地址

b、发布SSH服务

→ 执行ssh -p 3333 192.168.1.1时，实际SSH登录192.168.1.10

 # iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.1 -p tcp --dport 3333 -j DNAT --to-destination 192.168.1.10:22

c、发布FTP服务

→ 要加载模块 nf_nat_ftp、nf_conntrack_ftp

# iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.1 -p tcp --dport 20:21 -j DNAT --to-destination 192.168.1.10

九、防火墙脚本应用

·防火墙规则整理

→ 导入、导出规则

a、使用iptables-sace导出

# iptables-save

# Generated by iptables-save v1.4.7 on Sun Jul 13 11:31:34 2014

....

# Completed on Sun Jul 13 11:31:34 2014

# iptables-save > /root/my_iptables.rule

b、使用iptables-restore导入

#iptables-restore < /root/my_iptables.rule

c、开机后自动加载已保存的规则
    # iptables-save > /etc/sysconfig/iptables

linux防火墙--iptables（一）        http://nmore.blog.51cto.com/9008175/1437118

linux防火墙--iptables（二）        http://nmore.blog.51cto.com/9008175/1437304

linux防火墙--iptables（三）        http://nmore.blog.51cto.com/9008175/1437540