iptables网络防火墙||SNAT,DNAT等转发路由动作
当主机作为网络防火墙(处于内网主机群的对外机器)时,要开启路由转发功能,Linux中设置net.ipv4.ip_forward=1.,配置文件/etc/sysctl.conf,
sysctl -p #加载文件参数内容
外网的要访问内网的主机,必须要设置路由
参考链接:http://www.zsythink.net/archives/1663
########################################################################
NAT:网络地址转换,简单说,就是可以修改报文的IP地址的一种功能。
NAT分为SNAT,DNAT,MASQUERADE,REDIRECT
SNAT:源地址转换:内网的报文发出去会被修改源地址
套接字转向:源IP:源port--目标IP:目标port--------------->>路由IP:映射后port--目标IP:目标port
参考链接:http://www.zsythink.net/archives/1764
SNAT相关操作:
iptables -t nat -A POSTROUTING -s 源地址IP -j SNAT --to-source 公网IP
如果公网IP是动态获取的:
iptables -t nat -A POSTROUTING -s 源地址IP -o 出去网卡 -j MASQUERADE
DNAT相关操作:
iptables -t nat -I PREROUTING -d 公网IP -p tcp -m tcp --dport 公网port -j DNAT --to-destination 10.10.223.12-10.10.223.20:8080(内网)
端口映射:
将本机的80端口映射到本机的8080端口上
iptables -t nat -I PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
保存iptables规则: iptables-save > /etc/sysconfig/iptables
重载iptables规则:iptables-restore < /etc/sysconfig/iptables