linuxnatiptables_linux如何配置NAT

Ⅰ linux中iptables防火牆怎麼設置

一，安裝並啟動防火牆
［root@linux ~］# /etc/init.d/iptables start
當我們用iptables添加規則，保存後，這些規則以文件的形勢存在磁碟上的，以CentOS為例，文件地址是/etc/sysconfig/iptables，我們可以通過命令的方式去添加，修改，刪除規則，也可以直接修改/etc/sysconfig/iptables這個文件就行了。
1.載入模塊
/sbin/modprobe ip_tables
2.查看規則
iptables -L -n -v
3.設置規則
#清除已經存在的規則
iptables -F
iptables -X
iptables -Z
#默認拒絕策略（盡量不要這樣設置，雖然這樣配置安全性高，但同時會拒絕包括lo環路在內的所#有網路介面，導致出現其他問題。建議只在外網介面上做相應的配置）
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#ssh 規則
iptables -t filter -A INPUT -i eth0 -p tcp –dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 22 -j ACCEPT
#本地還回及tcp握手處理
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -m state –state RELATED，ESTABLISHED -j ACCEPT
#www-dns 規則
iptables -I INPUT -p tcp –sport 53 -j ACCEPT
iptables -I INPUT -p udp –sport 53 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -p tcp –sport 80 -j ACCEPT
#ICMP 規則
iptables -A INPUT -p icmp –icmp-type echo-request-j ACCEPT
iptables -A INPUT -p icmp –icmp-type echo-reply -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp –icmp-type echo-reply -j ACCEPT
二，添加防火牆規則
1，添加filter表
1.［root@linux ~］# iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT //開放21埠
出口我都是開放的iptables -P OUTPUT ACCEPT，所以出口就沒必要在去開放埠了。
2，添加nat表
1.［root@linux ~］# iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j MASQUERADE
將源地址是 192.168.10.0/24 的數據包進行地址偽裝
3，-A默認是插入到尾部的，可以-I來插入到指定位置
1.［root@linux ~］# iptables -I INPUT 3 -p tcp -m tcp --dport 20 -j ACCEPT
2.［root@linux ~］# iptables -L -n --line-number
3.Chain INPUT （policy DROP）
4.num target prot opt source destination
5.1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
6.2 DROP icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8
7.3 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:20 //-I指定位置插的
8.4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:22
9.5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
10.6 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED，ESTABLISHED
11.7 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID，NEW
12.8 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:21 //-A默認插到最後
13.Chain FORWARD （policy ACCEPT）
14.num target prot opt source destination
15.Chain OUTPUT （policy ACCEPT）
16.num target prot opt source destination
三，查下iptable規則
1，查看filter表
1.［root@linux ~］# iptables -L -n --line-number |grep 21 //--line-number可以顯示規則序號，在刪除的時候比較方便
2.5 ACCEPT tcp -- 192.168.1.0/24 0.0.0.0/0 tcp dpt:21
如果不加-t的話，默認就是filter表，查看，添加，刪除都是的
2，查看nat表
1.［root@linux ~］# iptables -t nat -vnL POSTROUTING --line-number
2.Chain POSTROUTING （policy ACCEPT 38 packets， 2297 bytes）
3.num pkts bytes target prot opt in out source destination
4.1 0 0 MASQUERADE all -- * * 192.168.10.0/24 0.0.0.0/0
四，修改規則
1.［root@linux ~］# iptables -R INPUT 3 -j DROP //將規則3改成DROP
五，刪除iptables規則
1.［root@linux ~］# iptables -D INPUT 3 //刪除input的第3條規則
2.［root@linux ~］# iptables -t nat -D POSTROUTING 1 //刪除nat表中postrouting的第一條規則
3.［root@linux ~］# iptables -F INPUT //清空 filter表INPUT所有規則
4.［root@linux ~］# iptables -F //清空所有規則
5.［root@linux ~］# iptables -t nat -F POSTROUTING //清空nat表POSTROUTING所有規則
六，設置默認規則
1.［root@linux ~］# iptables -P INPUT DROP //設置filter表INPUT默認規則是 DROP
所有添加，刪除，修改後都要保存起來，/etc/init.d/iptables save.上面只是一些最基本的操作，要想靈活運用，還要一定時間的實際操作。
iptables配置常規映射及軟路由
作用：虛擬化雲平台伺服器網段192.168.1.0/24 通過一台linux伺服器（eth0:192.168.1.1、eth1:10.0.0.5）做軟路由達到訪問10.0.0.5能訪問的網路范圍，並且通過iptables的NAT映射提供服務。
NAT 映射網路埠：
效果： 10.0.0.5:2222 —-》 192.168.1.2:22
命令：iptable -t nat -A PREROUTING -D 10.0.0.5 -p tcp –dport 2222 -j DNAT –to-destination 192.168.1.2:22
service iptables save
service iptables restart
注意：1.在192.168.1.2的網路配置上需要將NAT主機的內網ip即192.168.1.1作為默認網關，如果10.0.0.5具有公網訪問許可權，dns則設置成公網對應dns
2. echo 1 》 /proc/sys/net/ip_forward 在NAT 主機上需要開啟轉發才能生效
軟路由192.168.1.0/24通過10.0.0.5訪問外網：
命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to-source 10.0.0.5
service iptables save
service iptables restart

Ⅱ linux 命令iptables -t nat

iptables -t nat -vnL是什麼命令？
用詳細方式列出 nat 表所有鏈的所有規則，只顯示 IP 地址和埠號

iptables -L
粗略列出 filter 表所有鏈及所有規則

iptables -t nat -vxnL PREROUTING
用詳細方式列出 nat 表 PREROUTING 鏈的所有規則以及詳細數字，不反解

iptables -t nat -F PREROUTING
-F: FLASH，清空規則鏈的(注意每個鏈的管理許可權)
PREROUTING (路由前)
-t nat：顯示所有的關卡的信息

iptables -t nat -F 清空nat表的所有鏈

iptables -t nat -F PREROUTING 清空nat表PREROUTING鏈
iptables -t nat -vnL | grep SNAT | awk -F : {'print $2'} 得到snat ip
iptables -t nat -D POSTROUTING -o eth1 -j SNAT --to ${snat_ip} 刪除所有源地址轉換表項
iptables -t nat -A PREROUTING -i %{G_HOST_IF0_0_0} -p tcp --dport %{G_TESTBED_SELENIUM_DPORT} -j DNAT --to %{G_PROD_IP_BR0_0_0}:80 添加源轉換表項
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to ${ip} 添加目的轉換表項
iptables -t nat -vnL 察看定義規則的詳細信息

Ⅲ linux下iptables的nat關於SNAT和DNAT轉發實驗

一、概述 1. 什麼是NAT 在傳統的標準的TCP/IP通信過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更為確切的說，除了將源MAC學校換成自己的MAC學校以外，路由器不會對轉發的數據包做任何修改。NAT（Network Address Translation中國絡學校翻譯）恰恰是出於某種特殊需要而對數據包的源ip學校、目的ip學校、源埠、目的埠進行改寫的操作。 2. 為什麼要進行NAT 我們來看看再什麼情況下我們需要做NAT。假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP學校都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部中國卡上綁定多個合法IP學校，然後通過NAT技術使發給其中某一個IP學校的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。再比如使用撥號上中國的中國吧，因為只有一個合法的IP學校，必須採用某種手段讓其他機器也可以上中國，通常是採用中國伺服器的方式，但是中國伺服器，尤其是應用層中國伺服器，只能支持有限的協議，如果過了一段時間後又有新的服務出來，則只能等待中國伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題，因為是在應用層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支持任何新的服務或應用。還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明中國，在對http流量進行緩存的同時，可以提供對Internet的無縫訪問。 3. NAT的類型在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源學校，所謂DNAT就是改變轉發數據包的目的學校。二、原理在「用iptales實現包過慮型防火牆」一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是: PREROUTING:可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的ip學校，所以為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT; POSTROUTING:可以在這里定義進行源NAT的規則，系統在決定了數據包的路由以後在執行該鏈中的規則。 OUTPUT:定義對本地產生的數據包的目的NAT規則。三、操作語法如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項: 1. 對規則的操作加入(append) 一個新規則到一個鏈 (-A)的最後。在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。在鏈內某個位置替換(replace) 一條規則 (-R)。在鏈內某個位置刪除(delete) 一條規則 (-D)。刪除(delete) 鏈內第一條規則 (-D)。 2. 指定源學校和目的學校通過--source/--src/-s來指定源學校(這里的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的學校。可以使用以下四中方法來指定ip學校: a. 使用完整的域名，如「至美.linuxaid中國中國」; b. 使用ip學校，如「192.168.1.1」; c. 用x.x.x.x/x.x.x.x指定一個中國絡學校，如「192.168.1.0/255.255.255.0」; d. 用x.x.x.x/x指定一個中國絡學校，如「192.168.1.0/24」這里的24表明了子中國掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。預設的子中國掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。 3. 指定中國絡介面可以使用--in-interface/-i或--out-interface/-o來指定中國絡介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的中國絡介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的中國絡介面。 4. 指定協議及埠可以通過--protocol/-p選項來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明埠。四、准備工作 1. 編譯內核，編譯時選中以下選項，具體可參看「用iptales實現包過慮型防火牆」一文: Full NAT MASQUERADE target support REDIRECT target support 2. 要使用NAT表時，必須首先載入相關模塊: modprobe ip_tables modprobe ip_nat_ftp iptable_nat 模塊會在運行時自動載入。五、使用實例 1. 源NAT(SNAT) 比如，更改所有來自192.168.1.0/24的數據包的源ip學校為1.2.3.4: iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4 這里需要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥號上中國的時候使用，或者說在合法ip學校不固定的情況下使用。比如 # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 可以看出，這時候我們沒有必要顯式的指定源ip學校等信息。 2. 目的SNAT(DNAT) 比如，更改所有來自192.168.1.0/24的數據包的目的ip學校為1.2.3.4: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4 這里需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。有一種DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當於將符合條件的數據包的目的ip學校改為數據包進入系統時的中國絡介面的ip學校。通常是在與squid配置形成透明中國時使用，假設squid的監聽埠是3128，我們可以通過以下語句來將來自192.168.1.0/24，目的埠為80的數據包重定向到squid監聽埠: iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128 六、綜合例子 1. 使用撥號帶動局域中國上中國小型企業、中國吧等多使用撥號中國絡上中國，通常可能使用中國，但是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域中國上中國。成功升級內核後安裝iptables，然後執行以下腳本: #載入相關模塊 modprobe ip_tables modprobe ip_nat_ftp #進行ip偽裝 iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 2. ip映射假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP學校都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部中國卡上綁定多個合法IP學校，然後通過ip映射使發給其中某一個IP學校的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。我們假設以下情景: 該ISP分配給A單位至美伺服器的ip為: 偽ip:192.168.1.100 真實ip:202.110.123.100 該ISP分配給B單位至美伺服器的ip為: 偽ip:192.168.1.200 真實ip:202.110.123.200 linux防火牆的ip學校分別為: 內中國介面eth1:192.168.1.1 外中國介面eth0:202.110.123.1 然後我們將分配給A、B單位的真實ip綁定到防火牆的外中國介面，以root許可權執行以下命令: ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0 ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0 成功升級內核後安裝iptables，然後執行以下腳本: #載入相關模塊 modprobe ip_tables modprobe ip_nat_ftp 首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT): iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100 iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200 其次，對防火牆接收到的源ip學校為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT): iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100 iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200 這樣，所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映

Ⅳ linux如何配置NAT

1. 配置IP地址
1.1 正確配置學校分配的IP使能正常上網
1) 按學校分配的IP地址配置好Linux主機
[~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
| DEVICE=eth0 |
| BOOTPROTO=none |
| HWADDR=00:1E:90:13:E0:25 |
| IPADDR=10.3.10.19 |
| NETMASK=255.255.255.0 |
| GATEWAY=10.3.10.254 |
| ONBOOT=yes |
| TYPE=Ethernet |
| DNS1=211.64.120.2 |
| DEFROUTE=yes |
| DOMAIN=168.96.1.1 |

2) 重起網卡
[~]# servie network restart

note: 經過以上的配置, Linux主機應該能夠正常上網了!

1.2 新增eth0別名設備eth0:0
[~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0:0
| # eth0:0 必須要用''括起來: 'eth0:0' |
| DEVICE='eth0:0' |
| ONBOOT=yes |
| BOOTPROTO=static |
| IPADDR=192.168.50.1 |
| NETMASK=255.255.255.0 |
| USERCTL=no |

1.3 配置後查看一下是否配置成功:
[~]# ifconfig
| eth0 Link encap:Ethernet HWaddr 00:1E:90:13:E0:25 |
| inet addr:10.3.10.19 Bcast:10.3.10.255 Mask:255.255.255.0 |
| inet6 addr: fe80::21e:90ff:fe13:e025/64 Scope:Link |
| UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 |
| RX packets:187685 errors:0 dropped:0 overruns:0 frame:0 |
| TX packets:137327 errors:0 dropped:0 overruns:0 carrier:0 |
| collisions:0 txqueuelen:1000 |
| RX bytes:134816893 (128.5 MiB) TX bytes:56066393 (53.4 MiB) |
| Interrupt:27 Base address:0xa000 |

| eth0:0 Link encap:Ethernet HWaddr 00:1E:90:13:E0:25 |
| inet addr:192.168.50.1 Bcast:192.168.50.255 Mask:255.255.255.0 |
| UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 |
| Interrupt:27 Base address:0xa000 |

2. 配置路由
由於在配置網卡介面時, 已自動配置一定的路由, 所以我們只需查看一下其信息, 驗證其
是否已經被正確配置:
[root ~]$ route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.50.0 * 255.255.255.0 U 0 0 0 eth0
10.3.10.0 * 255.255.255.0 U 1 0 0 eth0
link-local * 255.255.0.0 U 1002 0 0 eth0
default 10.3.10.254 0.0.0.0 UG 0 0 0 eth0

3. 配置NAT
1) 新建nat.sh腳本文件並保存在 /usr/local/nat/ 目錄下:
[~]# cat /usr/local/nat/nat.sh
| #!/bin/bash |

| # 0. 設定你的參數值 |
| EXIF='eth0' # 這個是對外的網卡介面, 可能是'ppp0'等 |
| EXNET='192.168.50.0/24' # 這個是對內的網段 |

| # 底下如無需要, 請不要改動了! |
| # 1. 啟動routing等 |
| echo 1 > /proc/sys/net/ipv4/ip_forward |
| /sbin/iptables -F |
| /sbin/iptables -X |
| /sbin/iptables -Z |
| /sbin/iptables -F -t nat |
| /sbin/iptables -X -t nat |
| /sbin/iptables -Z -t nat |
| /sbin/iptables -P INPUT ACCEPT |
| /sbin/iptables -P OUTPUT ACCEPT |
| /sbin/iptables -P FORWARD ACCEPT |
| /sbin/iptables -t nat -P PREROUTING ACCEPT |
| /sbin/iptables -t nat -P POSTROUTING ACCEPT |
| /sbin/iptables -t nat -P OUTPUT ACCEPT |

| # 2. 載入模組 |
| /sbin/modprobe ip_tables 2> /dev/null |
| /sbin/modprobe ip_nat_ftp 2> /dev/null |
| /sbin/modprobe ip_nat_irc 2> /dev/null |
| /sbin/modprobe ip_conntrack 2> /dev/null |
| /sbin/modprobe ip_conntrack_ftp 2> /dev/null |
| /sbin/modprobe ip_conntrack_irc 2> /dev/null |

| # 3. 啟動ip偽裝 |
| /sbin/iptables -t nat -A POSTROUTING -o $EXIF -s $EXNET -j MASQUERADE |

2) 增加可執行許可權
[~]# chmod +x /usr/local/nat/nat.sh

4. 大功告成
1) Linux主機配置完成, 現在只需重新啟動一下剛才的配置:
[~]# servie network restart
[~]# /usr/local/nat/nat.sh

2) 為了使得開機即可運行, 可在 /etc/rc.d/rc.local 文件加入相應的命令:
[~]# echo "/usr/local/nat/nat.sh" >> /etc/rc.d/rc.local

5. 配置客戶機(可以是windows或linux等其它系統)
1. network 設定需要為: 192.168.50.0

2. broadcast 設定需要為: 192.168.50.255

3. netmask 設定需要為 255.255.255.0

4. IP 設定需要為 192.168.50.1 ~ 192.168.50.254 之一, 且『不能重復』

5. Gateway 或者要設定為你的 Linux 的對內 IP , 以我的例子來說, 就是
192.168.50.1

6. DNS 的設定: 這個最容易出錯了, DNS 設定需要是 ISP 給你的 DNS
IP, 如果不知道的話, 可以填入 168.95.1.1 或者是
139.175.10.20 這一個 SeedNet 的 DNS 即可!千萬不要設定為 192.168.1.2

Ⅳ 如何用Iptables實現Linux下強大的NAT功能

一、概述
1. 什麼是NAT
在傳統的標準的TCP/IP通信過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更為確切的說，除了將源MAC地址換成自己的MAC地址以外，路由器不會對轉發的數據包做任何修改。NAT（Network Address Translation網路地址翻譯）恰恰是出於某種特殊需要而對數據包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。
2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址，然後通過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網吧，因為只有一個合法的IP地址，必須採用某種手段讓其他機器也可以上網，通常是採用
代理伺服器的方式，但是代理伺服器，尤其是應用層代理伺服器，只能支持有限的協議，如果過了一段時間後又有新的服務出來，則只能等待代理伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題，

因為是在應用層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支持任何新的服務或應用。
還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明代理，在對http流量進行緩存的同時，可以提供對Internet的無縫訪問。
3. NAT的類型
在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源地址，所謂DNAT就是改變轉發數據包的目的地址。
二、原理
在「用iptales實現包過慮型防火牆」一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。
同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是:
PREROUTING:可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的ip地址，所以為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這里定義進行源NAT的規則，系統在決定了數據包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的數據包的目的NAT規則。
三、操作語法
如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過--source/--src/-s來指定源地址(這里的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名，如「www.linuxaid.com.cn」;
b. 使用ip地址，如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址，如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址，如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過--protocol/-p選項來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明埠。
四、准備工作
1. 編譯內核，編譯時選中以下選項，具體可參看「用iptales實現包過慮型防火牆」一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時，必須首先載入相關模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會在運行時自動載入。
五、使用實例
1. 源NAT(SNAT)
比如，更改所有來自192.168.1.0/24的數據包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4
這里需要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。
有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥號上網的時候使用，或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出，這時候我們沒有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如，更改所有來自192.168.1.0/24的數據包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4
這里需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。
有一種DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當於將符合條件的數據包的目的ip地址改為數據包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用，假設squid的監聽埠是3128，我們可以通過以下語句來將來自192.168.1.0/24，目的埠為80的數據包重定向到squid監聽
埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80
-j REDIRECT --to-port 3128
六、綜合例子
1. 使用撥號帶動區域網上網
小型企業、網吧等多使用撥號網路上網，通常可能使用代理，但是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域網上網。
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部網卡上綁定多個合法IP地址，然後通過ip映射使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
我們假設以下情景:
該ISP分配給A單位www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100
該ISP分配給B單位www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200
linux防火牆的ip地址分別為:
內網介面eth1:192.168.1.1
外網介面eth0:202.110.123.1
然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面，以root許可權執行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT --to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT --to 192.168.1.200
其次，對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT --to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT --to 202.110.123.200
這樣，所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映射

Ⅵ 如何用iptables實現Linux下強大的NAT功能

在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在彎旅困鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過--source/--src/-s來指定源地址(這里的/表示或者的意思，下同)，通過--destination/--dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名，如「www.linuxaid.com.cn」;
b. 使用ip地址，如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址，如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址，如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用--in-interface/-i或--out-interface/-o來指定網路介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的網路介面;而埋念對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過--protocol/-p選項鎮讓來指定協議，如果是udp和tcp協議，還可--source-port/--sport和 --destination-port/--dport來指明埠。

導航:首頁 > 操作系統 > linuxnatiptables

linuxnatiptables

與linuxnatiptables相關的資料