Iptables防火墙（SNAT和DNAT）

1、SNAT：源地址转换

实现内网访问外网，修改IP地址，使用POSTROUTING

命令：iptables -t nat -A POSTROUTING -s 192.168.1.10/24 -j SNAT --to-source 202.1.1.1

2、MASQUERADE：地址伪装

适用于外网ip地址非固定的情况

将SNAT规则改为MASQUERADE即可

命令：iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

3、DNAT：目标地址转换

实现发布公司内部服务器，修改目标地址，使用PREROUTING

命令：iptables -t nat -A PREROUTING -d 202.1.1.1 -p tcp --dport 8080 -j DNAT -to 192.168.1.100:80

4、备份和还原规则：

备份：

1）iptables-save > 文件

导出到指定文件

2）service iptables save

导出到/etc/sysconfig/iptables

重启自动加载

还原：

1）iptables-restore < 文件名

2）service iptables restart

从默认文件/etc/sysconfig/iptables还原

5、iptables脚本编写

1）定义变量

2）加载必要的模块

modprobe ip_nat_ftp ftp地址转换模块

modprobe ip_conntrack_ftp ftp连接状态跟踪

lsmod 查看已加载的模块

3）调整内核参数：

启用内核转发功能：有三种方式（详见第十章笔记的第8点）

4）编写防火墙的规则

6、防火墙的类型：

主机型防火墙：针对本机进行保护，使用filter表中的INPUT、OUTPUT链

网络型防火墙：对内、外网转发进行保护，使用filter表中FORWARD链