isware

在學習iptables時，我們應該知道這兩個NAT、端口映射東西，現在我給大家講解下！

實現目標：

利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器!同時實現了內網WEB服務器的端口映射!并且解決了WEB服務器訪問者IP都為代理服務器IP的問題!同時內外網皆可正常通過公網IP訪問內網的WEB服務器!實現目標：

利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器!同時實現了內網WEB服務器的端口映射!并且解決了WEB服 務器訪問者IP都為代理服務器IP的問題!同時內外網皆可正常通過公網IP訪問內網的WEB服務器!(加了SQUID后還沒有成功，努力中!)

軟硬件環境如下：

操作系統為 RHEL 4 ，3COM網卡兩張，eth0為外網網卡，IP為：221.222.111.10; eth1為內網網卡，IP為：192.168.0.1; 內網WEB服務器IP為：192.168.0.200 。網絡環境為：中國電信10M光纖，固定IP!

方法為如下：

首先我注釋掉了iptables文件原始的全部內容，然后在iptables文件中寫入如下內容!

##################################### Nat段開始 #########################################

*nat

:PREROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

#

#------------------------------ Web Server 端口映射 ------------------------------

# 192.168.0.200 端口80

######################

# 用DNAT作端口映射!注意以下指令一定要在NAT透明代理的前面，否則無效!

-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80

-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80

#

#------------------------------ Iptables NAT 透明代理 ------------------------------

#

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10

#

COMMIT

##################################### Nat段結束 #########################################

###################################### Filter段開始 #####################################

#

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

#

#防止網絡上其它計算機使用Ping命令探測本機：

-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP

#

# 防止廣播包從IP代理服務器進入局域網：

-A INPUT -s 255.255.255.255 -i eth0 -j DROP

-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP

-A INPUT -d 0.0.0.0 -i eth0 -j DROP

# 屏蔽掉以下的TCP和UDP端口：

-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP

-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP

-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP

-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP

-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP

-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP

#

COMMIT

###################################### Filter段結束 #####################################

修改完以上的文件后，再將/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ，這個很重要，不然NAT代理不能生效的!

然后用#: service iptables restart 這個指令重起iptables 服務!!OK，你再試試看代理服務和WEB能否則正常訪問，我想一定可以的!

附：

Web Server 端口映射一定要在 Iptables NAT透明代理指令前面，否則內網用戶將無法通過公網IP或域名訪問內網的Web服務器!

通過文章，我們知道了iptables的NAT+端口映射方法。希望對你們有用！