iptables防火牆（二）

SNAT策略及應用
應用環境：局域網主機共享單個公網IP地址接入Internet
原理：源地址轉換，Source Network Address Translation
          修改數據包的源地址

SNAT策略概述：

（1）局域網共享上網

（2）只開啓路由轉發，未設置地址轉換的狀況

（3）開啓路由轉發，並設置SNAT轉換的狀況

SNAT策略的應用

前提條件：

局域網各主機正確設置IP地址/子網掩碼

局域網各主機正確設置默認網關地址

Linux網關支持IP路由轉發

步驟:

（1）打開網關的路由轉發

在測試過程當中，若只但願臨時開啓路由轉發，也能夠執行如下操做：

或者

（2）正確設置SNAT策略

共享動態IP地址上網

在某些狀況下，網關的外網IP地址可能並不固定，針對這種需求，iptables命令提供了一個名爲MASQUERADE（假裝）的數據包控制類型。

DNAT策略及應用

應用環境：在Internet中發佈位於企業局域網內的服務器

原理:目標地址轉換，Destination Network Address Translation

        修改數據包的目標地址

DNAT策略概述

在internet中發佈內網服務器

進行DNAT轉換後的狀況

DNAT策略的應用

前提條件：

局域網的web服務器可以訪問Internet

網關的外網IP地址有正確的DNS解析記錄

Linux網關支持IP路由轉發

步驟：

（1）打開網關的路由轉發

同上述所說

（2）正確設置DNAT策略

發佈時修改目標端口

規則的備份

iptables-save工具

可結合重定向輸出保存到指定文件

規則的還原

iptables-restore工具

可結合重定向輸入指定規則來源

使用iptables服務

腳本位置：/etc/init.d/iptables

規則配置文件位置：/etc/sysconfig/iptables

保存防火牆規則到配置文件

設置開機自啓動

使用service命令控制iptables規則