在學(xué)習(xí)iptables時，我們應(yīng)該知道這兩個NAT、端口映射東西，現(xiàn)在我給大家講解下！

實現(xiàn)目標(biāo)：

利用iptabels給局域網(wǎng)做NAT透明代理，比如網(wǎng)吧或公司企業(yè)的上網(wǎng)代理服務(wù)器!同時實現(xiàn)了內(nèi)網(wǎng)WEB服務(wù)器的端口映射!并且解決了WEB服務(wù)器訪問者IP都為代理服務(wù)器IP的問題!同時內(nèi)外網(wǎng)皆可正常通過公網(wǎng)IP訪問內(nèi)網(wǎng)的WEB服務(wù)器!實現(xiàn)目標(biāo)：

利用iptabels給局域網(wǎng)做NAT透明代理，比如網(wǎng)吧或公司企業(yè)的上網(wǎng)代理服務(wù)器!同時實現(xiàn)了內(nèi)網(wǎng)WEB服務(wù)器的端口映射!并且解決了WEB服 務(wù)器訪問者IP都為代理服務(wù)器IP的問題!同時內(nèi)外網(wǎng)皆可正常通過公網(wǎng)IP訪問內(nèi)網(wǎng)的WEB服務(wù)器!(加了SQUID后還沒有成功，努力中!)

軟硬件環(huán)境如下：

操作系統(tǒng)為 RHEL 4 ，3COM網(wǎng)卡兩張，eth0為外網(wǎng)網(wǎng)卡，IP為：221.222.111.10; eth1為內(nèi)網(wǎng)網(wǎng)卡，IP為：192.168.0.1; 內(nèi)網(wǎng)WEB服務(wù)器IP為：192.168.0.200 。網(wǎng)絡(luò)環(huán)境為：中國電信10M光纖，固定IP!

方法為如下：

首先我注釋掉了iptables文件原始的全部內(nèi)容，然后在iptables文件中寫入如下內(nèi)容!

##################################### Nat段開始 #########################################

*nat

:PREROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

#

#------------------------------ Web Server 端口映射 ------------------------------

# 192.168.0.200 端口80

######################

# 用DNAT作端口映射!注意以下指令一定要在NAT透明代理的前面，否則無效!

-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80

-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80

#

#------------------------------ Iptables NAT 透明代理 ------------------------------

#

-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10

#

COMMIT

##################################### Nat段結(jié)束 #########################################

###################################### Filter段開始 #####################################

#

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

#

#防止網(wǎng)絡(luò)上其它計算機(jī)使用Ping命令探測本機(jī)：

-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP

#

# 防止廣播包從IP代理服務(wù)器進(jìn)入局域網(wǎng)：

-A INPUT -s 255.255.255.255 -i eth0 -j DROP

-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP

-A INPUT -d 0.0.0.0 -i eth0 -j DROP

# 屏蔽掉以下的TCP和UDP端口：

-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP

-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP

-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP

-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP

-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP

-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP

#

COMMIT

###################################### Filter段結(jié)束 #####################################

修改完以上的文件后，再將/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ，這個很重要，不然NAT代理不能生效的!

然后用#: service iptables restart 這個指令重起iptables 服務(wù)!!OK，你再試試看代理服務(wù)和WEB能否則正常訪問，我想一定可以的!

附：

Web Server 端口映射一定要在 Iptables NAT透明代理指令前面，否則內(nèi)網(wǎng)用戶將無法通過公網(wǎng)IP或域名訪問內(nèi)網(wǎng)的Web服務(wù)器!

通過文章，我們知道了iptables的NAT+端口映射方法。希望對你們有用！