Linux下iptables的工作机制图解以及在NAT的应用

1.iptables工作机制

在做SNAT和DNAT的时候，目标地址转换必须在路由之前转换。因此我们必须在外网而后内网的接口处进行设置关卡。

五个规则链应用：

1.PREROUTING (路由前)

2.INPUT (数据包流入口)

3.FORWARD (转发管卡)

4.OUTPUT(数据包出口)

5.POSTROUTING（路由后）

        这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链中的其中一个链。    
2.iptables工作机制图解





注意：对于nat来讲一般也只能做在3个链上：PREROUTING
，OUTPUT ，POSTROUTING

防火墙策略

一般分为两种，一种叫“通”策略，一种叫“堵”策略，通策略，默认门是关着的，必须要定义谁能进。堵策略则是，大门是洞开的，但是你必须有身份认证，否则不能进。所以要定义，让进来的进来，让出去的出去，所以通，是要全通，而堵，则是要选择。

3利用Linux下的iptables配置SNAT和DNAT

SNAT用法

iptables -t nat -A POSTROUTING  -s  192.168.10.0/24 -o eht0 -j  SNAT --to-source 10.0.0.2
DNAT的用法

iptables -t nat -A PREROUTING  -i eth0 -d 10.0.0.2  -p tcp --dport 80 -j DNAT --to-destination 192.168.10.2   -------指的是服务器端口为80类型的服务器地址

参考博客：http://blog.chinaunix.net/uid-26495963-id-3279216.html

 （指导老师----双星科技冯老师）