1. 使局域网用户可共享外网(拨号上网)
echo > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. (SNAT)更改所有来自192.168.1.0/24的数据包的源ip地址为1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/ -o eth0 -j SNAT --to 1.2.3.4
3. (DNAT)更改所有来自192.168.1.0/24的数据包的目的ip地址为1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/ -i eth1 -j DNAT --to 1.2.3.4
4. 使外网用户可以访问到局域网192.168.138.21这台HTTP服务
echo > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -m tcp --dport -j DNAT --to-destination 192.168.138.21
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
5. 使局域网用户,访问外网web服务时,自动使用squid作web透明代理服务器
echo > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.138.0/ -p tcp --dport -i eth0 -j DNAT --to 192.168.138.1
iptables -t nat -A PREROUTING -s 192.168.138.0/ -p tcp --dport -i eth0 -j REDIRECT --to
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
6. iptables安全策略, 网关服务器系统自生安全策略,只对内网用户开放22端口(sshd服务)
#清空 filter table
[root@localhost]# iptables -F -t filter
[root@localhost]# iptables -X -t filter
[root@localhost]# iptables -Z -t filter #清空 nat table
[root@localhost]# iptables -F -t nat
[root@localhost]# iptables -X -t nat
[root@localhost]# iptables -Z -t nat #设置默认策略(INPUT链默认为DROP)
[root@localhost]# iptables -t filter -P INPUT DROP
[root@localhost]# iptables -t filter -P OUTPUT ACCEPT
[root@localhost]# iptables -t filter -P FORWARD ACCEPT #回环接口(lo),默认accept
[root@localhost]# iptables -A INPUT -p ALL -i lo -j ACCEPT #只对内网用户开放sshd服务
[root@localhost]# iptables -A INPUT -p tcp -s 192.168.138.0/ --dport -j ACCEPT
参考来源:
[1] http://www.51know.info/system_security/iptable/iptable.html