centos 7 nat

iptables -t nat -A POSTROUTING -s 192.168.18.0/24 -o eth0 -j SNAT --to-source 172.18.210.77
用一個CentOS虛擬機提供NAT服務。
參照了howtoforge上面的文章，發現自己並不複雜，可是幾個基本概念必須搞清，否則看的就不太明白。
最重要的也就是這麼兩步：
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE
iptables --append FORWARD --in-interface gre10 -j ACCEPT
這裏eth0是外部接口，eth1是內部接口。
而後把/proc/sys/net/ipv4/ip_forward內容改成1 就能夠了。  這以前固然還要查一查iptables的規則，看看是否有和NAT規則衝突的，就把它改掉。
howtoforge網站沒有對此作什麼解釋，因此設置好了也只是知其然不知其因此然。 後來查了文檔，原來iptables規則中有三個表， filter,nat,mangle， 默認都是在filter表上操做，因此平時通常的規則修改不怎麼用到nat表和mangle 表，也不會用到 -- table 選項，難怪一開始看到howtoforge的文章會感到沒有頭緒。
在Linux nat中，被轉發的包實際通過了如下幾個 表-鏈 的組合
1.  mangle  -- PREROUTING
2. nat -- PREROUTING                ；用於外部訪問內部網站的NAT
3. mangle -- FORWARD
4. filter -- FORWARD
5. mangle -- POSTROUTING
6. nat - POSTROUTING               ；用於內部瀏覽外部的NAT
通常來講都是在 filter -- FORWARD 和 nat -- POSTROUTING 這兩個組合中做規則的設定。因此在這裏設置用eth0做爲出口路由，對於進入eth1的轉發包一概容許，固然也能夠結合具體狀況作一些過濾。
centOS自己的system-config-securitylevel工具不適合作這種配置，修改了nat之後也不要再用這個工具來檢查配置了， 好像是沒法識別的。
  filter 表裏面有3個chain，FORWARD， INPUT  和 OUTPUT。
iptables的常見選項：
-p 指定協議  -s 指定源地址 -d 指定目的地址 -i 指定入接口  -o 指定出接口
-p 指定協議後，可接着用 --sport  --dport 指定端口號 --syn 表示syn 包後面可接 -m limit --limit n/s 來限定每秒SYN數量。
擴展選項：
-m multiport --sports
   端口號同逗號分隔，不必定是連續的
-m mulitport --dports
 
-m multiport --ports
 
-m --state   狀態能夠是 ESTABLISHED  NEW  RELATED INVALID 等
若是要讓外部訪問內部的某一個服務器如Web 服務器：
iptables -t nat -A PREROUTING -p tcp -i eth0  -d 119.23.42.3 --dport 3389 --sport 1024:65535 -j DNAT --to 192.168.60.253:3389
iptables -A FORWARD -p tcp -i eth0 -o gre10 -d  192.168.60.253 --dport 3389 --sport 1024:65535 -m state --state NEW -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT