SNAT与DNAT

1、SNAT

原理：修改数据包中的源IP地址
作用：可以实现局域网共享上网

配置的表及链：nat表中的POSTROUTING
实现方法：
1）主机、服务器配置正确的ip地址及网关
2）网关服务器开启路由功能
a、echo 1 > /proc/sys/net/ipv4/ip_forward
b、vim /etc/sysctl.conf
net.ip…….ip_forward = 1
sysctl -p
3）设置SNAT
a、网关服务器外网卡的IP地址固定
iptables -t nat -A POSTROUTING　-s 192.168.10.0/24 -o eth1 -j SNAT –to-source 网关服务器外网卡的IP地址

b、网关服务器外网卡的IP地址不固定
iptables -t nat -A POSTROUTING　-s 192.168.10.0/24 -o eth1 -j MASQUERADE

在linux系统中利用ADSL拨号连接外网，将上述的网卡接口名称进行修改（ppp0，ppp1等），如果没有办法确认网络接口的名称可以采用ppp+替代。

iptables -t nat -A POSTROUTING　-s 192.168.10.0/24 -o ppp1 -j
MASQUERA

说明：条件匹配根据具体情况适当添加

2、DNAT

原理：修改数据包中的目标IP地址
作用：将内网中服务器进行发布

配置在nat表中的PREROUTING链上

实现方法：
a、正确配置ip地址及网关
b、开启网关服务器的路由功能功
c、进行DNAT配置（最好先配置SNAT，内网的用户就可以直接访问外网）

例子：
iptables -t nat -A PREROUTING -d 210.99.19.2 -p tcp –dport 80 -j DNAT –to-destination 192.168.10.5
或
用户访问不使用默认的端口
iptables -t nat -A PREROUTING -d 210.99.19.2 -p tcp –dport 8080 -j DNAT –to-destination 192.168.10.5:80

3、防火墙规则的备份和还原

备份（导出）
iptables-save > /路径/名称

还原（导入）
iptables-restore < 备份文件的完整路径

iptables-save > /etc/sysconfig/iptables 将规则保存在此位置可以让防火墙的规则自动还原

4、企业防火墙脚本书写的格式规范

a、定义变量（ip地址、接口、网段、服务器ip等等）
b、加载必要的内核模块
c、调整内核性能参数（内核的调优）
d、设置策略/规则
先将所有的规则清空；然后设置默认策略；最后设置具体的策略