iptables+NAT+端口映射_Unix系統

iptables+NAT+端口映射

發表于：2007-07-04來源：作者：點擊數：標簽：

實現目標：利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器！同時實現了內網WEB服務器的端口映射！并且解決了WEB服務器訪問者IP都為代理服務器IP的問題！同時內外網皆可正常通過公網IP訪問內網的WEB服務器！實現目標：利用ipta

實現目標：
利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器！同時實現了內網WEB服務器的端口映射！并且解決了WEB服務器訪問者IP都為代理服務器IP的問題！同時內外網皆可正常通過公網IP訪問內網的WEB服務器！

實現目標：
利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器！同時實現了內網WEB服務器的端口映射！并且解決了WEB服務器訪問者IP都為代理服務器IP的問題！同時內外網皆可正常通過公網IP訪問內網的WEB服務器?。恿薙QUID后還沒有成功，努力中?。?

軟硬件環境如下：
操作系統為 RHEL 4 ，3COM網卡兩張，eth0為外網網卡，IP為：221.222.111.10; eth1為內網網卡，IP為：192.168.0.1; 內網WEB服務器IP為：192.168.0.200 。網絡環境為：中國電信10M光纖，固定IP！

方法為如下：
首先我注釋掉了iptables文件原始的全部內容，然后在iptables文件中寫入如下內容！

##################################### Nat段開始 #########################################
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
#------------------------------ Web Server 端口映射 ------------------------------
# 192.168.0.200 端口80
######################
# 用DNAT作端口映射！注意以下指令一定要在NAT透明代理的前面，否則無效！
-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
#
#------------------------------ Iptables NAT 透明代理 ------------------------------
#
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10
#
COMMIT
##################################### Nat段結束 #########################################

###################################### Filter段開始 #####################################
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
#防止網絡上其它計算機使用Ping命令探測本機：
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
#
# 防止廣播包從IP代理服務器進入局域網：
-A INPUT -s 255.255.255.255 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
-A INPUT -d 0.0.0.0 -i eth0 -j DROP
# 屏蔽掉以下的TCP和UDP端口：
-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#
COMMIT
###################################### Filter段結束 #####################################

修改完以上的文件后，再將/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ，這個很重要，不然NAT代理不能生效的！

然后用#: service iptables restart 這個指令重起iptables 服務??！OK，你再試試看代理服務和WEB能否則正常訪問，我想一定可以的！

附：
Web Server 端口映射一定要在 Iptables NAT透明代理指令前面，否則內網用戶將無法通過公網IP或域名訪問內網的Web服務器！
如果有需要做一些過協議過濾，比如公司的要過濾掉QQ等，請搜索CU論壇的其它帖子，這就不在本帖的討論范圍了！

原文轉自：http://www.kjueaiud.com

軟件測試 > 測試開發技術 > 軟件測試環境搭建 > Unix系統 >