iptables forward功能

linuxsun.cn

FORWARD 链配置同INPUT OUTPUT 只有当作为路由器时才需要配置
eg
[root@happyboy root]# iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
[root@happyboy root]# iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT
同时还需要修改下面文件值为1，来打开内核转发文件。
[root@happyboy root]# more /proc/sys/net/ipv4/ip_forward
0
以上修改为1在机器重启后会还原为0 需要手动修改配置文件
[root@happyboy root]# vi /etc/sysctl.conf
net.ipv4.ip_forward = 0
修改这行的值为1。
当然也可以限定端口和做日志记录
因为上述配置中本机没有合法的公网IP，所以还是无法实现内网用户通过iptables来连接到外网，这里需要通过iptables的NAT功能来实现,这时需要在网卡上再配置个亿 合法的公
网IP，具体通过iptables的nat表实现。
[root@happyboy root]# iptables -t nat -L -n          //查看nat表。
通常NAT在prerouting和postrouting两个节点进行，output中不常用
两种不同的地址转换：源地址转换和目标地址转换。
源地址转换SNAT：目标不是自己的数据包，经过FORWARD之后将源地址翻译为其他主机，如图所示：转换点只能发生在POSTROUTING，

目标地址转换(DNAT)：当一个数据包进入FORWARD之前在PREROUTING时转换其源地址，如下图所示。

SNAT的应用

服务器上的两个网卡分别连接到两个不同的网段，其中计算机10.0.0.241的网关设置为10.0.0.254
# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.0.254
这样服务器就配置成为了一个路由器，可以作为拨号网关使用(原理：当192.168.0.1回应数据包时服务器会自动将转换还原，将数据包发送给发出方)。通常连接互联网的IP是动态
变化的，可以用“伪装”形式来实现
# iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j   MASQUERADE
DNAT应用

DNAT通常用来保护内部服务器192.168.0.1，让所有的访问基于网关
# iptables -t nat -A PREROUTING -d 10.0.0.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1
即将所有对网关10.0.0.254的80端口的访问的目标地址翻译为192.168.0.1


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/83964/showart_1824787.html