在學習iptables時,我們應該知道這兩個NAT、端口映射東西,現在我給大家講解下!
實現目標:
利用iptabels給局域網做NAT透明代理,比如網吧或公司企業的上網代理服務器!同時實現了內網WEB服務器的端口映射!并且解決了WEB服務器訪問者IP都為代理服務器IP的問題!同時內外網皆可正常通過公網IP訪問內網的WEB服務器!實現目標:
利用iptabels給局域網做NAT透明代理,比如網吧或公司企業的上網代理服務器!同時實現了內網WEB服務器的端口映射!并且解決了WEB服 務器訪問者IP都為代理服務器IP的問題!同時內外網皆可正常通過公網IP訪問內網的WEB服務器!(加了SQUID后還沒有成功,努力中!)
軟硬件環境如下:
操作系統為 RHEL 4 ,3COM網卡兩張,eth0為外網網卡,IP為:221.222.111.10; eth1為內網網卡,IP為:192.168.0.1; 內網WEB服務器IP為:192.168.0.200 。網絡環境為:中國電信10M光纖,固定IP!
方法為如下:
首先我注釋掉了iptables文件原始的全部內容,然后在iptables文件中寫入如下內容!
##################################### Nat段開始 #########################################
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
#------------------------------ Web Server 端口映射 ------------------------------
# 192.168.0.200 端口80
######################
# 用DNAT作端口映射!注意以下指令一定要在NAT透明代理的前面,否則無效!
-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
#
#------------------------------ Iptables NAT 透明代理 ------------------------------
#
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10
#
COMMIT
##################################### Nat段結束 #########################################
###################################### Filter段開始 #####################################
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
#防止網絡上其它計算機使用Ping命令探測本機:
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
#
# 防止廣播包從IP代理服務器進入局域網:
-A INPUT -s 255.255.255.255 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
-A INPUT -d 0.0.0.0 -i eth0 -j DROP
# 屏蔽掉以下的TCP和UDP端口:
-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#
COMMIT
###################################### Filter段結束 #####################################
修改完以上的文件后,再將/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ,這個很重要,不然NAT代理不能生效的!
然后用#: service iptables restart 這個指令重起iptables 服務!!OK,你再試試看代理服務和WEB能否則正常訪問,我想一定可以的!
附:
Web Server 端口映射一定要在 Iptables NAT透明代理指令前面,否則內網用戶將無法通過公網IP或域名訪問內網的Web服務器!
通過文章,我們知道了iptables的NAT+端口映射方法。希望對你們有用!