iptables网络防火墙||SNAT,DNAT等转发路由动作

当主机作为网络防火墙（处于内网主机群的对外机器）时，要开启路由转发功能，Linux中设置net.ipv4.ip_forward=1.,配置文件/etc/sysctl.conf，

sysctl  -p  #加载文件参数内容

 外网的要访问内网的主机，必须要设置路由

参考链接：http://www.zsythink.net/archives/1663

########################################################################

NAT：网络地址转换，简单说，就是可以修改报文的IP地址的一种功能。

NAT分为SNAT,DNAT,MASQUERADE,REDIRECT

SNAT：源地址转换：内网的报文发出去会被修改源地址

套接字转向：源IP：源port--目标IP：目标port--------------->>路由IP：映射后port--目标IP：目标port

参考链接：http://www.zsythink.net/archives/1764

SNAT相关操作：

iptables -t nat -A POSTROUTING -s 源地址IP  -j SNAT  --to-source 公网IP

如果公网IP是动态获取的：

iptables -t nat -A POSTROUTING -s  源地址IP  -o  出去网卡   -j   MASQUERADE

DNAT相关操作：

iptables -t nat -I PREROUTING  -d 公网IP -p tcp  -m tcp  --dport 公网port  -j DNAT  --to-destination  10.10.223.12-10.10.223.20:8080（内网）

端口映射：

将本机的80端口映射到本机的8080端口上

iptables  -t  nat -I PREROUTING  -p tcp --dport 80  -j  REDIRECT  --to-ports  8080

 保存iptables规则： iptables-save > /etc/sysconfig/iptables

重载iptables规则：iptables-restore < /etc/sysconfig/iptables