Iptables Nat转发

Iptables Nat

iptables子命令：

规则：

-A:添加

-I:插入

-D:删除

-R:修改

链：

-N:新建一条自定义的链

-X:删除一条自定义的空链

-F:清空链中的规则

-Z:清空链中的计数器

-E:重命名自定连的名称

-P:修改链的默认规则

显示：

-L：

-n,-v,--line-numbers

-S:

规则定义：iptables -t table -A|-I|-R chain 匹配条件 -j target

匹配条件：

通用匹配：-s，-d，-i，-o，-p

扩展匹配：

隐含扩展

-p tcp

--sport --dport --tcp-flags

--syn

-p udp

--sport --dport

-p icmp

--icmp-type

echo-request：8

echo-reply：0

显示扩展

-m state

--state

-m multiport

--sports，--dports，--ports

-m iprange

--src-range，--dst-range

-m string

--algo {bm|kmp},--string,--hex-string

-m connlimit

--connlimit-above

-m limit

--limit n(/second|minute|hour|day),--limit-burst

-m time

--datestart,--datestop

--timestart,--timestart

--weekdays

-j

ACCEPT DROP REJECT LOG REDIRCT SNAT DNAT MASQUERADE MARK RETURN 自定义链

四表：raw mangle nat filter

五链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING

主机防火墙：INPUT,OUTPUT

网络防火墙：

路由：对于Linux主机来说，设定/proc/sys/net/ipv4/ip_forward的值为1，即为开启了路由功能.

路由表的生成：

静态：手动添加

动态：基于路由协议学习，RIP2,OSPF

NAT：网络地址转换

A:10

B:172.16-172.31

C:192.168.0-192.168.255

NAT:工作在网络层和传输层

Proxy：工作在应用层

iptables -P FORWARD DROP

网关必须和本地ip在同一局域网内

一个请求进来首先交给本机，本机未匹配到再交给网关.

172.16.0.177---{172.16.0.192|192.168.30.11}-----192.168.30.129

# iptables -A FORWARD -d 192.168.30.129 -m state --state ESTABLISHED -j ACCEPT

# iptables -A FORWARD -d 192.168.30.129 -p tcp -m multiport --dports 22,80 -m state --state NEW -j ACCEPT

NAT：

Basic Nat:静态NAT.

NAPT:动态NAT,网络地址端口转换.

源地址转换：SNAT，用于让内网主机访问互联网.

目标地址转换：DNAT，让互联网上的主机访问本地内网中的某服务器上的服务.

Iptables 基于SNAT和DNAT这两个目标实现地址转换技术.

-j SNAT --to-source

添加到post链.

# iptables -t nat -nL

Chain PREROUTING (policy ACCEPT)

target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)

target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

PREROUTING：主要做DNAT

POSTROUTING  OUTPUT  主要做SNAT

#SNAT实例；

所有来自172.16.0.0/24的ip全部做SNAT,转换为 192.168.30.129

# iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j SNAT --to-source 192.168.30.129

-j:MASQUERADE 地址伪装

-j:DNAT --to-destination DIP[:PORT]

支持端口映射

# iptables -t nat -A PREROUTING -d 172.16.0.192 -p tcp --dport 80 -j DNAT --to-destination 192.168.30.129

访问本地扯淡2222端口，做DNAT跳到192.168.30.129的22端口.

# iptables -t nat -A PREROUTING -d 172.16.0.192 -p tcp --dport 2222 -j DNAT --to-destination 192.168.30.129:22

UDP多端口转发：

有两种写法,多端口的匹配可以使用":"匹配范围，也可以使用"-"匹配范围.

第一种：

#-A PREROUTING -d 192.168.30.129 -p udp --dport 41861:41868 -j DNAT --to-destination 172.16.10.192:41861-41868

#-A POSTROUTING -s 172.16.10.192 -p udp --dport 41861:41868 -j SNAT --to-source 192.168.30.131

匹配端口范围，但是nat转发时会端口错乱，有时转发可能并未达到想要的结果.

第二种：

一个端口一条的匹配.