Iptables 应用解析II---NATMangle.doc

Iptables 应用解析II---NAT/Mangle (ZZ) 来源: ChinaUnix博客 　日期： 2009.04.29 21:15　(共有条评论) 我要评论 ? Iptables 应用解析II---NAT/Mangle??上篇Filter的解析已是一周前的事了,上周一直比较忙也没时间整理繁琐的笔记.呵呵,这周补上吧!接上篇Filter来介绍NAT Mangle的功能及用法.亦附上数据穿越IP层的示意图:? ?? ? 1.NAT --- Network Address Translation 网络地址转换??网络地址转换即改变数据包的源/目的地址,做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做NAT或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说，余下的包不会再通过这个表，一个一个的被NAT，而是自动地完成。这就是我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作用是在包刚刚到达防火墙时改变它的目的地址，OUTPUT链改变本地产生的包的目的地址,POSTROUTING链在包就要离开防火墙之前改变其源地址。??所以NAT分为SNAT DNAT SNAT作用只限于POSTROUTING 而DNAT作用于PREROUTING OUTPUT??A.SNAT 源地址NAT ? ? 常用于linux网关? ? 例:内网/8??外网4/24 内网通过此外网机器访问外网??#iptables -t nat -A POSTROUTING -s /8 -o eth0 -j SNAT --to 4 网关? ? 凡是来自内网/8的包,把src换成4转发出 若把 -j SNAT --to 4? ? 换为MASQUERDE 适合动态可变的IP,即根据本机路由选择IP 注:DNAT由网关4自动完成??B.DNAT 目的地址NAT? ? 常用于解决内网的Server发布内网端口的映射? ? 例:内网:/8:80??外网:4/24:8001??#iptables -t nat -A PREROUTING -d 4 -p tcp --dport 8001 -j DNAT --to :80? ? 凡目的地址为4:8001的数据包目的地址改为:80? ? 注:--to [ipaddr]-[ipaddr] [:port-port] 可多IP(范围)作负载均衡(轮转),但存在单点故障??#iptables -t filter -A FORWARD -p udp -j DROP??#iptables -t nat -A PREROUTING -s /8 -p udp --dport 53 -j DNAT --to 54? ? 上面二条规则限制网关将不转发udp包,内网的任何DNS查询将被发往指定的企业DNS服务器,实现DNS的透??明代理.??#iptables -t nat -A PREROUTING -s /8 -p tcp? ?? ?? ?? ?? ?? ?? ?? ?--dport 80 -j DNAT --to 4:3128 此句实现web透明代理??#iptables -t nat -I PREROUTING -m mac --mac-source 00:1A:A0:98:B1:6E -j DROP ??#iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT 网关常用??#iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080 端口NAT??#iptables -A FORWARD -s 89 -m limit –limit 20/s -j ACCEPT??#iptables -A FORWARD -s 89 DROP 以二句用在网关上限速..??iprange模块的应用..? ? #iptables -t nat -I PREROUTING -i eth2 -m iprange? ?? ?? ?? ?? ?? ?? ?? ? --src-range 02-02 -j ACCEPT? ? #iptables -t nat -A PREROUTING -m iprange --src-range 0-55? ?? ?? ?? ?? ?? ?? ?? ?? ?-i eth1 -p tcp -m tcp --dport 1:65535 -j REDIRE