iptables 防火墙高级应用(网关性防火墙)
1:本次内容主要学习linux防火墙的SNAT,DNAT策略,是linux转换地址的操作。
也是iPtables命令中的一种控制类型,其作用是根据制定条件修改源ip地址
2:SNAT策略的概述: 主要是将源地址转换为公网iP地址。类似网络中的静态PAT技术
3:DNAT策略的该是:主要将外网的ip地址装换为内网的ip地址。类似网络中的动态PAT技术
4:SNAT,DNAT提高内部网络的安全,保护内部主机的ip地址,有可以节省公网ip地址,减少公司的资金投入
5:DNAT主要用与iptables中的PREROUTING链,而SANT主要用于iptables中的POSTROUTING链
6:根据实际情况进行一下配置;
一、首先清除网关防火墙和dmz中的服务器上的所有防火墙规则
iptables -F 表示清空防火墙中的规则
二、将dmz中的服务器SER1和网关防火墙的INPUT、FORWARD链默认策略设置为DROP 
三、配置网关防火墙SNAT,使内部客户机访问SER2时,转换为200.1.1.1
1. 启用路由功能
在网关防火墙上进行开启路由功能, vim /etc/sysctl.conf
2. 在filter表forward链上创建相应的转发规则
3. 在nat表postrouting链上创建SNAT规则,将内部客户机地址映射成200.1.1.1
3.验证:在pc1上访问SER2上的ftp,www服务,然后查看SER2的访问日志
通过日志查看访问情况; tai -1 /var/log/httpd/access_log命令查看
四、配置网关防火墙SNAT,使内部客户机访问SER2时,转换为OUT口地址
1. 清空nat表中刚刚创建的snat规则
2. 在nat表postrouting链上创建SNAT规则,将内部客户机地址装换成eth2
