iptables+NAT+端口映射
来源:互联网 发布:淘宝付款怎么用支付宝 编辑:程序博客网 时间:2024/04/30 09:11
实现目标:
利用iptabels给局域网做NAT透明代理,比如网吧或公司企业的上网代理服务器!同时实现了内网WEB服务器的端口映射!并且解决了WEB服务器访问者IP都为代理服务器IP的问题!同时内外网皆可正常通过公网IP访问内网的WEB服务器!
实现目标:
利用iptabels给局域网做NAT透明代理,比如网吧或公司企业的上网代理服务器!同时实现了内网WEB服务器的端口映射!并且解决了WEB服务器访问者IP都为代理服务器IP的问题!同时内外网皆可正常通过公网IP访问内网的WEB服务器!(加了SQUID后还没有成功,努力中!)
软硬件环境如下:
操作系统为 RHEL 4 ,3COM网卡两张,eth0为外网网卡,IP为:221.222.111.10; eth1为内网网卡,IP为:192.168.0.1; 内网WEB服务器IP为:192.168.0.200 。网络环境为:中国电信10M光纤,固定IP!
方法为如下:
首先我注释掉了iptables文件原始的全部内容,然后在iptables文件中写入如下内容!
##################################### Nat段开始 #########################################
*nat 字串6
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
#
#------------------------------ Web Server 端口映射 ------------------------------
# 192.168.0.200 端口80
######################
# 用DNAT作端口映射!注意以下指令一定要在NAT透明代理的前面,否则无效!
-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80
#
#------------------------------ Iptables NAT 透明代理 ------------------------------
#
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10
#
COMMIT
##################################### Nat段结束 #########################################
###################################### Filter段开始 #####################################
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0] 字串8
#
#防止网络上其它计算机使用Ping命令探测本机:
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
#
# 防止广播包从IP代理服务器进入局域网:
-A INPUT -s 255.255.255.255 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
-A INPUT -d 0.0.0.0 -i eth0 -j DROP
# 屏蔽掉以下的TCP和UDP端口:
-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#
COMMIT
###################################### Filter段结束 #####################################
修改完以上的文件后,再将/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ,这个很重要,不然NAT代理不能生效的!
然后用#: service iptables restart 这个指令重起iptables 服务!!OK,你再试试看代理服务和WEB能否则正常访问,我想一定可以的! 字串9
附:
Web Server 端口映射一定要在 Iptables NAT透明代理指令前面,否则内网用户将无法通过公网IP或域名访问内网的Web服务器!
如果有需要做一些过协议过滤,比如公司的要过滤掉QQ等,请搜索CU论坛的其它帖子,这就不在本帖的讨论范围了!
字串5
- iptables+NAT+端口映射
- iptables nat及端口映射
- 【转】iptables+NAT+端口映射
- iptables NAT 做端口映射
- ubuntu iptables nat ip 端口映射
- iptables nat及端口映射 【转】
- iptables nat及端口映射(转载)
- Linux 防火墙iptables (四)iptables NAT(端口映射)
- iptables 端口映射
- iptables端口映射
- iptables端口映射
- iptables 端口映射
- iptables NAT
- Iptables+NAT
- iptables---NAT
- iptables NAT
- IPTABLES NAT
- iptables nat
- 解决Warning: Cannot modify header information - headers already sent by ......
- 湖南卫视炒作王紫娇
- [SQL] Microsoft SQL Server 2005 无法正常登录的几个情况
- 对眼睛有益的食品
- ReportX技巧(6)数字、日期、时间格式
- iptables+NAT+端口映射
- C++的尴尬
- SQL字符串函数-数据类型转换函数 文章指数:0 CSDN Blog推出文章指数概念,文章指数是对Blog文章综合评分后推算出的,综合评分项分别是该文章的点击量,回复次数,被网摘收录数量,文章长度和文章类型;满分100,每月更新一次。
- JS实现浏览器菜单命令
- Fedora Core 8环境下中文输入法安装配置
- WEB界面开发规范
- 分组、反向引用和编号(命名)组
- asp.net操作Excel,读取、导出,操作
- IE中伪类:hover的使用及BUG,以及如何在IE6中进行修正(CSS)
