iptables防火墙

prerouting用来修改目的地址，用来做DNAT 。如：把内网中的80端口映射到路由器外网端口上

postrouting用来修改源地址用来做SNAT。  如：内网通过路由器NAT转换功能实现内网PC机通过

Iptables过滤封包流程

 

总结： 整体数据包分两类： 1、发给防火墙本身的数据包 ；2、需要经过防火墙的数据包
注意：规则的次序非常关键，谁的规则越严格，应该放的越靠前，而检查规则的时候，是按照从上往下的方式进行检查的。

 

 

配置文件位置：

[root@ygy130 ~]#  ls /etc/sysconfig/iptables

保存：/etc/init.d/iptables save 就会生成规则在配置文件中

 [root@ygy130 ~]# iptables -L --line-number    显示行号

[root@ygy130 ~]# iptables -D INPUT 1  　　　　删除规则

下面配置防火墙，使内网2网段通过31网段上网。63主机双网卡。

 

 

 首先配置路由转发功能。

[root@ygy130 ~]# vim /etc/sysctl.conf

改：#net.ipv4.ip_forward = 0
为： net.ipv4.ip_forward = 1

改完使配置生效：

[root@ygy130 ~]# sysctl -p

[root@ygy130 ~]# iptables -t nat -A POSTROUTING -s 192.168.2.0/24   -j  SNAT  --to 192.168.31.130

 源地址是2.0的网段，转到能上网的网卡。

内网机器的ip配置，网关为130的网卡1的地址。

dns要改成内网的dns 之前配置的dns服务器192.168.2.20.

这个时候，内网主机就能ping通外网。

 

路由跟踪：通过2.20，转到31.1进行上网。

 

拒绝访问服务器本身和拒绝通过服务器访问别的机器

内网主机禁止ping通能上网的主机的网段。禁止ping 192.168.31.1。

没有成功，待研究。

 

 

把内网的web服务器，映射到外网，   如上个图，外网通过访问主机63，就能访问了64的网页。

 

 [root@ygy130 ~]# iptables -t nat -A PREROUTING -d 192.168.31.130 -p tcp --dport 80 -j DNAT --to 192.168.2.100:80

命令参考：

http://www.xker.com/page/e2012/0926/120758.html

https://www.cmhello.com/linux-ipteables-ban-unban-ip.html