iptables防火墙(2)
- 一、SNAT
- SNAT应用环境
- SNAT原理
- SNAT转换前条件
- 扩展
- 二、DNAT
- DNAT应用环境
- DNAT原理
- DNAT转换前提条件
- 扩展
- 三、防火墙规则的备份和还原
- 导出(备份)所有表的规则
- 导入(还原)规则
一、SNAT
SNAT应用环境
- 局域网主机共享单个公网IP地址接入Internet(私有不能早Internet中正常路由)
SNAT原理
- 修改数据包的源地址
SNAT转换前条件
- 局域网个主机已正确设置IP地址、子网掩码、默认网关地址
- Linux网关开启IP路由转发
临时打开
echo 1 > /proc/sys/net/ipv4/ip_forward
或
sysctl -w net.ipv4.ip_forward=1
永久打开
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1 #将此行写入配置文件
systel -p #读取修改后的配置
扩展
- 一个IP地址做SNAT转换,一般可以让内网100到200台主机实现上网
二、DNAT
DNAT应用环境
- 在Internet中发布位于局域网内的服务器
DNAT原理
- 修改数据包的目的地址
DNAT转换前提条件
- 局域网的服务器能够访问Internet
- 网关的外网地址有正确的DNS解析记录
- Linux网关开启IP路由转发
vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p
扩展
- 主机型防火墙 主要使用INPUT、OUTPUT链,设置规则时一般要详细的指定到端口
- 网络型防火墙 主要使用 FORWARD 链,设置规则时很少去指定到端口,一般指定到IP地址或者到网段即可
三、防火墙规则的备份和还原
导出(备份)所有表的规则
iptables-save > /opt/ipt.txt
导入(还原)规则
iptables-restore < /opt/ipt.txt
将iptables规则文件保存在/etc/sysconfig/iptables中,iptables服务启动时会自动还原规则
iptables-save> /etc/sysconfig/iptables
systemctl stop iptables #停止iptables服务会清空掉所有表的规则
systemctl start iptables #启动iptables服务自动还原/etc/sysconfig/iptables
