iptables's man

netaaa

iptables's man
防火墙在校园内一直被认为陌晦高深，很少有系管师有勇气进行计划性的实验，基本上这份讲义也可以当成测试报告来阅读，是笔者秉持我不入地狱、谁入地狱的精神，冒着生命危险，蛮干出来的成果，也藉此抛砖引玉，希望能带动国内能力高于笔者许多的众家高手，一起来进行有利于校园网络的公益研究！
防火墙产品可以概略归类为硬件式防火墙和软件式防火墙，但实际上无论是硬件式或软件式防火墙，它们都需要使用硬件来作为联机介接，也需要使用软件来设定安全政策，严格说两者间的差别并不太大。我们只能从使用的硬件与操作系统来加以区分，硬件式防火墙是使用专有的硬件，而软件式防火墙则使用一般的计算机硬件，硬件式防火墙使用专有的操作系统，而软件式防火墙则使用一般的操作系统。
防火墙依照其运作方式来分类，可以区分为封包过滤式防火墙 (Packet Filter) 、应用层网关式防火墙 (Application-Level Gateway，也有人把它称为 Proxy 防火墙)、电路层网关式防火墙 (Circuit-Level Gateway)。其中被广为采用的是封包过滤式防火墙，本文要介绍的 iptables 防火墙就是属于这一种。
封包过滤是最早被实作出来的防火墙技术，它是在 TCP/IP 四层架构下的 IP 层中运作。封包过滤器的功能主要是检查通过的每一个 IP 数据封包，如果其标头中所含的数据内容符合过滤条件的设定就进行进一步的处理，主要的处理方式包含：放行（accept）、丢弃（drop）或拒绝（reject）。要进行封包过滤，防火墙必须要能分析通过封包的来源 IP 与目的地 IP，还必须能检查封包类型、来源埠号与目的埠号、封包流向、封包进入防火墙的网卡接口、TCP的联机状态等数据。
防火墙由于种种理由价格一直居高不下，对于贫穷的中小学来讲要采购一台防火墙，简直是不可能的任务，而由于 Linux 的风行，使用 Linux 来充作软件式防火墙，似乎是不错的解决之道，本文拟介绍以 Linux 上最新最强大的 iptables 防火墙软件，建置出适合学校使用的过滤规则，让缺钱的学校能有一套好用的防火墙来看守校园网络的大门。
Linux 防火墙演变简史
Linux 最早出现的防火墙软件称为 ipfw，ipfw 能透过 IP 封包标头的分析，分辨出封包的来源 IP 与目的地 IP、封包类型、来源埠号与目的埠号、封包流向、封包进入防火墙的网卡界面......等，并藉此分析结果来比对规则进行封包过滤，同时也支持 IP 伪装的功能，利用这个功能可以解决 IP 不足的问题，可惜这支程序缺乏弹性设计，无法自行建立规则组合（ruleset）作更精简的设定，同时也缺乏网址转译功能，无法应付越来越复杂的网络环境，而逐渐被淘汰。
取而代之的 ipchains，不但指令语法更容易理解，功能也较 ipfw 优越；ipchains 允许自订规则组合（ruleset），称之为 user-define chains，透过这种设计，我们可以将彼此相关的规则组合在一起，在需要的时候跳到该组规则进行过滤，有效将规则的数量大幅缩减，以往 ipfw 仅能进行循序过滤，导致规则又臭又长的毛病，就不药而愈了。除了这个明显的好处以外，ipchains 并能结合本身的端口对应功能和 redir 程序的封包转送机制，模拟出网址转译的能力，而满足 NAT 的完整需求，堪称为一套成熟的防火墙作品。
防火墙软件的出现，确实曾经让骇客们晚上睡不着觉，因为防火墙的阻隔能够有效让内部网络不设防的单机不致于暴露在外，也能有效降低服务器的能见度，减少被攻击的机会，骇客过去所用的网络探测技术因此受到严格的挑战，越来越多的攻击对象躲藏在防火墙后方，让骇客难以接近，因此必须针对新的情势，研究出新的探测技术，藉以规避防火墙的检查，达到发现目标并进而攻击入侵的目的，新的技术非常多，本文并不拟进一步讨论，请自行参考 CERT 组织的技术文件，网址是
www.cert.org
，想看中文请连到
www.cert.org.tw
。
iptables 作为 ipchains 的新一代继承人，当然也针对骇客不断推陈出新的探测技术拟出一些因应之道，那就是对封包的联机状态，作出更详细的分析，例如：是否为新联机或响应封包、是否为转向联机、联机是否失去响应，联机时间是否过长......等等，透过这样的分析能对一些可能被骇客利用的弱点加以阻隔（请详见后文的说明），另外也开发出真正的封包改写能力，不需要透过其它程序的协助来仿真网址转译，除此之外，iptables 也获得系统核心的直接支持，不需要像 ipchains 那样需要自行重新编译核心。
iptables 优越的性能使它取代了 ipchains，成为网络防火墙的主流，而 ipchains 并未被淘汰，目前 ipchains 已经转型成单机防火墙，在安装新版 Linux 时，会自动被安装启用，以保护单机上未被使用的通讯端口。
iptables 防火墙概论
iptables 防火墙的指令非常类似于 ipchains，使用过 ipchains 的人应该很容易上手，但是 iptables 的机制与 ipchains 有很大的不同，使用 ipchains 的概念来设定规则，将会使防火墙无法正常运作。ipchains 跟 iptables 最大的不同在于对 INPUT、FORWARD 、OUTPUT 三个网络函式的定义不同，这三个网络函式是 TCP/IP 驱动程序的一部分，是介于网卡驱动程序和应用程序的中间，Linux 核心预设会启用 INPUT、OUTPUT 和 LOOPBACK，而 FORWARD 函式则必须自行启用，可以使用下面指令，或直接修改 /etc/sysconfig/network 组态档：
echo "1" > /proc/sys/net/ipv4/ip_forward
从上介绍可以知道 ipchains 如何处理封包的流动，分述如下：
• IP INPUT：所有封包都由 IP INPUT 函式负责处理，所以设定过滤规则时，几乎都是设定在 INPUT 规则炼上。
• IP FORWARD：目的 IP 非本机的 IP，这些封包需要进一步作转送处理，此函式用来处理 IP 伪装和 Port 转送。
• IP OUTPUT：所有流出的封包都由这个函式处理，通常不需设定任何规则。
iptables 除了上述三支函式以外，还使用两个新的函式：Prerouting、Postrouting。现在来比较一下 iptables 的运作模式：
从上面介绍可以知道 iptables 如何处理封包的流动，分述如下：
• IP INPUT：只有要到达本机的封包才会由INPUT 函式处理，所以会让来自内部网络的封包无条件放行，来自外部网络的封包则过滤是否为响应封包，若是则放行。
• PREROUTING：需要转送处理的封包由此函式负责处理，此函式用来做目的地 IP 的转译动作（DNAT）。
• IP FORWARD：所有转送封包都在这里处理，这部分的过滤规则最复杂。
• POSTROUTING：转送封包送出之前，先透过这个函式进行来源 IP 的转译动作（SNAT）。
• IP OUTPUT：从本机送出去的封包由这个函式处理，通常会放行所有封包。
iptables 和 ipchains 都可以自行定义规则群组（rule-set），规则群组被称为规则炼（chains），前面所描述的函式，也都有相对应的规则炼（INPUT、 FORWARD、OUTPUT、Prerouting、Postrouting），为了有别于自行定义的规则链，这些规则链我们就称为内建规则链。
学员们不难了解 ipchains 为什么要叫做 chains，因为它是将所有规则串接成一个序列逐一检查过滤，就像一条铁链一样一个环接一个环，在过滤过程中只要符合其中一条规则就会立即进行处理，如果处理动作是跳到某个规则群组，则继续检查群组内之规则设定，但如果处理动作是 ACCEPT、REJECT、DROP、REDIRECT 或 MASQUERADE，则会中断过滤程序，而不再继续检查后面的规则设定，在这样的结构之下，有时候规则顺序的对调会产生完全相反的结果，这一点在设定防火墙时不能不谨慎。
而 iptables 是采用规则堆栈的方式来进行过滤，当一个封包进入网卡，会先检查 Prerouting，然后检查目的 IP 判断是否需要转送出去，接着就会跳到 INPUT 或 Forward 进行过滤，如果封包需转送处理则检查 Postrouting，如果是来自本机封包，则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理，处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外，还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等，其中某些处理动作不会中断过滤程序，某些处理动作则会中断同一规则炼的过滤，并依照前述流程继续进行下一个规则炼的过滤（注意：这一点与 ipchains 不同），一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是，我们可以进行复杂、多重的封包过滤，简单的说，iptables 可以进行纵横交错式的过滤（tables）而非炼状过滤（chains）。
虽然 iptables 为了扩充防火墙功能，而必须采用比较复杂的过滤流程，但在实际应用时，同一规则链下的规则设定还是有先后顺序的关系，因此在设定规则时还是必须注意其中的逻辑。
制定校园网络安全政策
在实际设定防火墙之前，我们必须根据校园网络的安全需求，先拟定一份安全策略，拟定安全策略前必须搜集以下资料：
1. 找出需要过滤保护的服务器
2. 条列出被保护的服务器将提供何种网络服务
3. 一般工作站，需要何种等级的保护
4. 了解网络架构与服务器摆放位置
根据这些数据，我们可以决定安全政策，以石牌国小为例：
1. 校内使用 NAT 虚拟网络，IP 数量需要两组 C，所有 IP 均需作 IP 伪装
2. 校园内安全需求不高，服务器与工作站摆在同一网段，不需采用 DMZ 设计
3. 由于服务器功能经常扩充，所有服务器均采用一对一对应，不使用 port 转送功能
4. 所有工作站均能自由使用网络资源，不限制只能看网页
5. 服务器提供之服务包含：dns、web、mail、ftp、wam、webmin、ssh、rdp、pcaw，不提供 proxy 及其它网络服务
6. 为增进校园网络之安全性，采用正面表列方式进行封包过滤（定义想放行之封包，其余封包一律阻挡）
还有一些网络安全须注意的事项，则是每所学校都应防范的，没有等差之别，例如：联机被绑架、阻断式攻击、连接端口扫描......等。
iptables 指令
语法：
iptables [-t table] command [match] [-j target/jump]
-t 参数用来指定规则表，内建的规则表有三个，分别是：nat、mangle 和 filter，当未指定规则表时，则一律视为是 filter。各个规则表的功能如下：
nat 此规则表拥有 Prerouting 和 postrouting 两个规则链，主要功能为进行一对一、一对多、多对多等网址转译工作（SNAT、DNAT），由于转译工作的特性，需进行目的地网址转译的封包，就不需要进行来源网址转译，反之亦然，因此为了提升改写封包的效率，在防火墙运作时，每个封包只会经过这个规则表一次。如果我们把封包过滤的规则定义在这个数据表里，将会造成无法对同一封包进行多次比对，因此这个规则表除了作网址转译外，请不要做其它用途。
mangle 此规则表拥有 Prerouting、FORWARD 和 postrouting 三个规则炼。
除了进行网址转译工作会改写封包外，在某些特殊应用可能也必须去改写封包（TTL、TOS）或者是设定 MARK（将封包作记号，以便进行后续的过滤），这时就必须将这些工作定义在 mangle 规则表中，由于使用率不高，我们不打算在这里讨论 mangle 的用法。
filter 这个规则表是预设规则表，拥有 INPUT、FORWARD 和 OUTPUT 三个规则炼，这个规则表顾名思义是用来进行封包过滤的处理动作（例如：DROP、 LOG、 ACCEPT 或 REJECT），我们会将基本规则都建立在此规则表中。
常用命令列表：
命令 -A, --append
范例 iptables -A INPUT ...
说明 新增规则到某个规则链中，该规则将会成为规则链中的最后一条规则。
命令 -D, --delete
范例 iptables -D INPUT --dport 80 -j DROP
iptables -D INPUT 1
说明 从某个规则炼中删除一条规则，可以输入完整规则，或直接指定规则编号加以删除。
命令 -R, --replace
范例 iptables -R INPUT 1 -s 192.168.0.1 -j DROP
说明 取代现行规则，规则被取代后并不会改变顺序。
命令 -I, --insert
范例 iptables -I INPUT 1 --dport 80 -j ACCEPT
说明 插入一条规则，原本该位置上的规则将会往后移动一个顺位。
命令 -L, --list
范例 iptables -L INPUT
说明 列出某规则炼中的所有规则。
命令 -F, --flush
范例 iptables -F INPUT
说明 删除某规则炼中的所有规则。
命令 -Z, --zero
范例 iptables -Z INPUT
说明 将封包计数器归零。封包计数器是用来计算同一封包出现次数，是过滤阻断式攻击不可或缺的工具。
命令 -N, --new-chain
范例 iptables -N allowed
说明 定义新的规则链。
命令 -X, --delete-chain
范例 iptables -X allowed
说明 删除某个规则炼。
命令 -P, --policy
范例 iptables -P INPUT DROP
说明 定义过滤政策。 也就是未符合过滤条件之封包，预设的处理方式。
命令 -E, --rename-chain
范例 iptables -E allowed disallowed
说明 修改某自订规则炼的名称。
常用封包比对参数：
参数 -p, --protocol
范例 iptables -A INPUT -p tcp
说明 对比通讯协议类型是否相符，可以使用 ! 运算子进行反向比对，例如：-p ! tcp ，意思是指除 tcp 以外的其它类型，包含 udp、icmp ...等。如果要比对所有类型，则可以使用 all 关键词，例如：-p all。
参数 -s, --src, --source
范例 iptables -A INPUT -s 192.168.1.1
说明 用来比对封包的来源 IP，可以比对单机或网络，比对网络时请用数字来表示屏蔽，例如：-s 192.168.0.0/24，比对 IP 时也可以使用 ! 运算子进行反向比对，例如：-s ! 192.168.0.0/24。
参数 -d, --dst, --destination
范例 iptables -A INPUT -d 192.168.1.1
说明 用来比对封包的目的地 IP，设定方式同上。
参数 -i, --in-interface
范例 iptables -A INPUT -i eth0
说明 用来比对封包是从哪片网卡进入，可以使用通配字符 + 来做大范围比对，例如：-i eth+ 表示所有的 ethernet 网卡，也可以使用 ! 运算子进行反向比对，例如：-i ! eth0。
参数 -o, --out-interface
范例 iptables -A FORWARD -o eth0
说明 用来比对封包要从哪片网卡送出，设定方式同上。
参数 --sport, --source-port
范例 iptables -A INPUT -p tcp --sport 22
说明 用来比对封包的来源埠号，可以比对单一埠，或是一个范围，例如：--sport 22:80，表示从 22 到 80 埠之间都算是符合条件，如果要比对不连续的多个埠，则必须使用 --multiport 参数，详见后文。比对埠号时，可以使用 ! 运算子进行反向比对。
参数 --dport : --destination-port
范例 iptables -A INPUT -p tcp --dport 22
说明 用来比对封包的目的地埠号，设定方式同上。
参数 --tcp-flags
范例 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN
说明 比对 TCP 封包的状态旗号，参数分为两个部分，第一个部分列举出想比对的旗号，第二部分则列举前述旗号中哪些有被设定，未被列举的旗号必须是空的。TCP 状态旗号包括：SYN（同步）、ACK（应答）、FIN（结束）、RST（重设）、URG（紧急）、PSH（强迫推送）等均可使用于参数中，除此之外还可以使用关键词 ALL 和 NONE 进行比对。比对旗号时，可以使用 ! 运算子进行反向比对。
参数 --syn
范例 iptables -p tcp --syn
说明 用来比对是否为要求联机之 TCP 封包，与 iptables -p tcp --tcp-flags SYN,FIN,ACK SYN 的作用完全相同，如果使用 ! 运算子，可用来比对非要求联机封包。
参数 -m multiport --source-port
范例 iptables -A INPUT -p tcp -m multiport --source-port 22,53,80,110
说明 用来比对不连续的多个来源埠号，一次最多可以比对 15 个埠，可以使用 ! 运算子进行反向比对。
参数 -m multiport --destination-port
范例 iptables -A INPUT -p tcp -m multiport --destination-port 22,53,80,110
说明 用来比对不连续的多个目的地埠号，设定方式同上。
参数 -m multiport --port
范例 iptables -A INPUT -p tcp -m multiport --port 22,53,80,110
说明 这个参数比较特殊，用来比对来源埠号和目的埠号相同的封包，设定方式同上。注意：在本范例中，如果来源端口号为 80 但目的地埠号为 110，这种封包并不算符合条件。
参数 --icmp-type
范例 iptables -A INPUT -p icmp --icmp-type 8
说明 用来比对 ICMP 的类型编号，可以使用代码或数字编号来进行比对。请打 iptables -p icmp --help 来查看有哪些代码可以用。
参数 -m limit --limit
范例 iptables -A INPUT -m limit --limit 3/hour
说明 用来比对某段时间内封包的平均流量，上面的例子是用来比对：每小时平均流量是否超过一次 3 个封包。除了每小时平均一次外，也可以每秒钟、每分钟或每天平均一次，默认值为每小时平均一次，参数如后： /second、 /minute、/day。除了进行封包数量的比对外，设定这个参数也会在条件达成时，暂停封包的比对动作，以避免因骇客使用洪水攻击法，导致服务被阻断。
参数 --limit-burst
范例 iptables -A INPUT -m limit --limit-burst 5
说明 用来比对瞬间大量封包的数量，上面的例子是用来比对一次同时涌入的封包是否超过 5 个（这是默认值），超过此上限的封包将被直接丢弃。使用效果同上。
参数 -m mac --mac-source
范例 iptables -A INPUT -m mac --mac-source 00:00:00:00:00:01
说明 用来比对封包来源网络接口的硬件地址，这个参数不能用在 OUTPUT 和 Postrouting 规则炼上，这是因为封包要送出到网卡后，才能由网卡驱动程序透过 ARP 通讯协议查出目的地的 MAC 地址，所以 iptables 在进行封包比对时，并不知道封包会送到哪个网络接口去。
参数 --mark
范例 iptables -t mangle -A INPUT -m mark --mark 1
说明 用来比对封包是否被表示某个号码，当封包被比对成功时，我们可以透过 MARK 处理动作，将该封包标示一个号码，号码最大不可以超过 4294967296。
参数 -m owner --uid-owner
范例 iptables -A OUTPUT -m owner --uid-owner 500
说明 用来比对来自本机的封包，是否为某特定使用者所产生的，这样可以避免服务器使用 root 或其它身分将敏感数据传送出去，可以降低系统被骇的损失。可惜这个功能无法比对出来自其它主机的封包。
参数 -m owner --gid-owner
范例 iptables -A OUTPUT -m owner --gid-owner 0
说明 用来比对来自本机的封包，是否为某特定使用者群组所产生的，使用时机同上。
参数 -m owner --pid-owner
范例 iptables -A OUTPUT -m owner --pid-owner 78
说明 用来比对来自本机的封包，是否为某特定行程所产生的，使用时机同上。
参数 -m owner --sid-owner
范例 iptables -A OUTPUT -m owner --sid-owner 100
说明 用来比对来自本机的封包，是否为某特定联机（Session ID）的响应封包，使用时机同上。
参数 -m state --state
范例 iptables -A INPUT -m state --state RELATED,ESTABLISHED
说明 用来比对联机状态，联机状态共有四种：
     INVALID 表示该封包的联机编号（Session ID）无法辨识或编号不正确。
     ESTABLISHED 表示该封包属于某个已经建立的联机。
     NEW 表示该封包想要起始一个联机（重设联机或将联机重导向）。
     RELATED 表示该封包是属于某个已经建立的联机，所建立的新联机。例如：FTP-DATA 联机必定是源自某个 FTP 联机。
常用的处理动作：
-j 参数用来指定要进行的处理动作，常用的处理动作包括：ACCEPT、REJECT、DROP、REDIRECT、MASQUERADE、LOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、MARK，分别说明如下：
ACCEPT  将封包放行，进行完此处理动作后，将不再比对其它规则，直接跳往下一个规则炼（nat:postrouting）。
REJECT  拦阻该封包，并传送封包通知对方，可以传送的封包有几个选择：ICMP port-unreachable、ICMP echo-reply 或是 tcp-reset（这个封包会要求对方关闭联机），进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。范例如下：iptables -A FORWARD -p TCP --dport 22 -j REJECT --reject-with tcp-reset
DROP    丢弃封包不予处理，进行完此处理动作后，将不再比对其它规则，直接中断过滤程序。
REDIRECT 将封包重新导向到另一个端口（PNAT），进行完此处理动作后，将 会继续比对其它规则.这个功能可以用来实作通透式 porxy 或用来保护 web 服务器。例如：iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 8080
MASQUERADE 改写封包来源 IP 为防火墙 NIC IP，可以指定 port 对应的范围，进行完此处理动作后，直接跳往下一个规则炼（mangle:postrouting）。这个功能与 SNAT 略有不同，当进行 IP 伪装时，不需指定要伪装成哪个 IP，IP 会从网卡直接读取，当使用拨接连线时，IP 通常是由 ISP 公司的 DHCP 服务器指派的，这个时候 MASQUERADE 特别有用。范例如下：  
              iptables -t nat -A POSTROUTING -p TCP -j MASQUERADE --to-ports 1024-31000
LOG 将封包相关讯息纪录在 /var/log 中，详细位置请查阅 /etc/syslog.conf 组态档，进行完此处理动作后，将会继续比对其它规则。例如：
     iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
SNAT 改写封包来源 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将直接跳往下一个规则炼（mangle:postrouting）。范例如下：
     iptables -t nat -A POSTROUTING -p tcp-o eth0 -j SNAT --to-source 194.236.50.155-194.236.50.160:1024-32000
DNAT 改写封包目的地 IP 为某特定 IP 或 IP 范围，可以指定 port 对应的范围，进行完此处理动作后，将会直接跳往下一个规则炼（filter:input 或 filter:forward）。范例如下：
iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 --dport 80 -j DNAT --to-destination 192.168.1.1-192.168.1.10:80-100
MIRROR 镜射封包，也就是将来源 IP 与目的地 IP 对调后，将封包送回，进行完此处理动作后，将会中断过滤程序。
QUEUE 中断过滤程序，将封包放入队列，交给其它程序处理。透过自行开发的处理程序，可以进行其它应用.
RETURN 结束在目前规则炼中的过滤程序，返回主规则炼继续过滤，如果把自订规则炼看成是一个子程序，那么这个动作，就相当于提早结束子程序并返回到主程序中。
MARK 将封包标上某个代号，以便提供作为后续过滤的条件判断依据，进行完此处理动作后，将会继续比对其它规则。范例如下：iptables -t mangle -A PREROUTING -p tcp --dport 22 -j MARK --set-mark 2
应用实例
#!/bin/sh
# 石牌国小防火墙设定指令稿
# 原文件是依 DMZ 需求设计，已根据校园 NAT 网络之需求修改，其余改动部份包括：
# 新增通讯协议定义区块
# 新增执行时，自动清除已设定之规则
# 支援 FTP
# 修改所有规则，改采 multiport 方式以简化规则
# 原文件仅支持 IP 伪装（多对一对应），已扩充为支持一对一对应及多对多对应
# 原文件仅支援 DNS 及 WEB，新增 ftp、mail、wam、PCAnywhere、ssh......等多种服务器
# 修改若干规则设定上的小错误
# 定义会用到的通讯协议
HTTP="80"
HTTPS="443"
FTP="21"
FTP_DATA="20"
SMTP="25"
POP3="110"
IMAP="143"
SSH="22"
TELNET="23"
PCAW_TCP="5631"
PCAW_UDP="5632"
WEBMIN="10000"
WAM="12000"
DNS="53"
# 1.1 Internet Configuration.
# 定义 NIC IP 及 WAN 接口
INET_IP="163.21.xxx.253"
HTTP1_IP="163.21.xxx.2"
HTTP2_IP="163.21.xxx.4"
HTTP3_IP="163.21.xxx.9"
HTTP4_IP="163.21.xxx.6"
HTTP5_IP="163.21.xxx.7"
HTTP6_IP="163.21.xxx.10"
FTP1_IP="163.21.xxx.2"
FTP2_IP="163.21.xxx.6"
FTP3_IP="163.21.xxx.7"
MAIL1_IP="163.21.xxx.6"
MAIL2_IP="163.21.xxx.7"
PCAW1_IP="163.21.xxx.2"
PCAW2_IP="163.21.xxx.4"
WAM1_IP="163.21.xxx.6"
WAM2_IP="163.21.xxx.7"
DNS_IP="163.21.xxx.2"
IP_POOL="163.21.xxx.240-163.21.xxx.250"
INET_IFACE="eth1"
# 1.2 Local Area Network configuration.
# 定义 NAT IP 及 LAN 接口
LAN_IP="192.168.1.253"
LAN_HTTP1_IP="192.168.1.2"
LAN_HTTP2_IP="192.168.1.4"
LAN_HTTP3_IP="192.168.1.9"
LAN_HTTP4_IP="192.168.1.6"
LAN_HTTP5_IP="192.168.1.7"
LAN_HTTP6_IP="192.168.1.53"
LAN_FTP1_IP="192.168.1.2"
LAN_FTP2_IP="192.168.1.6"
LAN_FTP3_IP="192.168.1.7"
LAN_MAIL1_IP="192.168.1.6"
LAN_MAIL2_IP="192.168.1.7"
LAN_PCAW1_IP="192.168.1.2"
LAN_PCAW2_IP="192.168.1.4"
LAN_WAM1_IP="192.168.1.6"
LAN_WAM2_IP="192.168.1.7"
LAN_DNS_IP="192.168.1.2"
LAN_IP_RANGE="192.168.0.0/16"
LAN_BROADCAST_ADDRESS="192.168.1.255"
LAN_IFACE="eth0"
# 1.4 Localhost Configuration.
# 定义 Loopback IP 及接口
LO_IFACE="lo"
LO_IP="127.0.0.1"
# 1.5 IPTables Configuration.
# 设定 iptables 指令路径
IPTABLES="/sbin/iptables"
# 2. Module loading.
# Needed to initially load modules
# 整理核心支持模块之清单
/sbin/depmod -a
# 2.1 Required modules
# 加载会用到的模块
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
# 2.2 Non-Required modules
# 其余未使用之模块
#/sbin/modprobe ipt_owner
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ip_conntrack_irc
#/sbin/modprobe ip_nat_irc
# 启动 Forward 接口
echo "1" > /proc/sys/net/ipv4/ip_forward
# 3.2 Non-Required proc configuration
# 其余未使用之接口
#echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr
# 4. rules set up.
# 4.1 Filter table
# 4.1.0 Ｒeset the default policies in the nat table.
# 清除所有已设定之规则，回复到不设防状态
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X
# 4.1.1 Set policies
# 定义安全政策为正面表列
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
# 4.1.2 Create userspecified chains
# 新增使用者自订规则炼 bad_tcp_packets、 allowed 和 icmp_packets
$IPTABLES -N bad_tcp_packets
$IPTABLES -N allowed
$IPTABLES -N icmp_packets
# 4.1.3 Create content in userspecified chains
# bad_tcp_packets chain
# bad_tcp_packets 规则链的功能是：将要求重导向的联机记录起来，然后将封包丢弃（防止联机被绑架，但会档掉需要三方交谈的服务，例如：M$ Media Server）
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-level INFO --log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
# allowed chain
# allowed 规则炼的功能是：允许要求联机封包或响应封包进入，将其余封包丢弃
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
# ICMP rules
# icmp_packets 规则炼的功能是：允许 ping 封包进入，将其余封包丢弃
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
# 4.1.4 INPUT chain（过滤要到达防火墙的封包）
# 进入防火墙主机的 TCP 封包必须先进行 bad_tcp_packets 过滤
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
# 从 WAN 进入防火墙主机的 ICMP 封包必须先进行 icmp_packets 过滤，这是为了避免骇客传送不完整的 IP 封包，系统会响应 ICMP 封包通知对方，导致主机位置被侦测出来
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
# 从 LAN 进入防火墙主机的全部 unicast 和 broadcast 封包，通通放行；额外检查目的地 IP 可以将 multicast 封包滤除
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT
# 从 Loopback 接口进入防火墙主机的所有封包，检查是否来自本机，若是则放行；此规则去检查来源 IP ，似乎有些画蛇添足，因为只有来自本机的封包才有机会进入 Loopback 接口
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
# 从 LAN 进入防火墙主机的 DHCP 封包，予以放行，只有当防火墙担任 DHCP 时才使用
#$IPTABLES -A INPUT -p UDP -i $LAN_IFACE --dport 67 --sport 68 -j ACCEPT
# 从 WAN 进入防火墙主机的所有封包，检查是否为响应封包，若是则予以放行
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击　
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level INFO --log-prefix "IPT INPUT packet died: "
# 4.1.5 FORWARD chain（过滤要通过防火墙的封包）
# 通过防火墙的 TCP 封包必须先进行 bad_tcp_packets 过滤
$IPTABLES -A FORWARD -p TCP -j bad_tcp_packets
# 从 LAN 要到 WAN 的封包通通放行
$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT
# 从 WAN 要到 LAN 的封包仅放行回应封包
$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state --state ESTABLISHED,RELATED -j ACCEPT
# 允许来自 WAN 的 Ping 封包，递送到校内所有的服务器
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -j icmp_packets
$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -j icmp_packets
# 允许来自 WAN 的 HTTP、HTTPS 封包，递送到校内所有的 WEB 服务器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -m multiport --dport $HTTP,$HTTPS -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -m multiport --dport $HTTP,$HTTPS -j allowed
# 允许来自 WAN 的 FTP 封包，递送到校内所有的 FTP 服务器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP1_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP2_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP3_IP -m multiport --dport $FTP,$FTP_DATA -j allowed
# 允许来自 WAN 的 SMTP、POP3、IMAP 封包，递送到校内所有的 MAIL 服务器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL1_IP -m multiport --dport $SMTP,$POP3,$IMAP -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL2_IP -m multiport --dport $SMTP,$POP3,$IMAP -j allowed
# 允许来自 WAN 的 SSH、TELNET、WEBMIN、WAM 封包，递送到校内所有的 LINUX 服务器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM1_IP -m multiport --dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM2_IP -m multiport --dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed
# 允许来自 WAN 的 PCanywhere 封包，递送到校内所有的 PCanywhere 服务器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP --dport $PCAW_TCP -j allowed
$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP --dport $PCAW_UDP -j ACCEPT
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP --dport $PCAW_TCP -j allowed
$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP --dport $PCAW_UDP -j ACCEPT
# 允许来自 WAN 的 DNS 封包，递送到校内的 DNS 服务器
$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j allowed
$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击　
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
# 4.1.6 OUTPUT chain（过滤从防火墙送出的封包）
# 从防火墙送出的 TCP 封包必须先进行 bad_tcp_packets 过滤
$IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets
# 从防火墙网卡送出的所有封包，通通放行
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击　
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
4.2 nat table
# 4.2.1 Set policies
# 4.2.2 Create user specified chains
# 4.2.3 Create content in user specified chains
# 4.2.4 PREROUTING chain（定义目的地地址转译）
# 从 WAN 要到校内服务器的封包，在封包过滤前先转译目的地 IP 为 NAT IP
$IPTABLES -t nat -A PREROUTING -d $HTTP1_IP -j DNAT --to-destination $LAN_HTTP1_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP2_IP -j DNAT --to-destination $LAN_HTTP2_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP3_IP -j DNAT --to-destination $LAN_HTTP3_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP4_IP -j DNAT --to-destination $LAN_HTTP4_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP5_IP -j DNAT --to-destination $LAN_HTTP5_IP
$IPTABLES -t nat -A PREROUTING -d $HTTP6_IP -j DNAT --to-destination $LAN_HTTP6_IP
# 4.2.5 POSTROUTING chain（定义来源地址转译）
# 从校内服务器要到 WAN 的封包，在送出之前先转译来源 IP 为 NIC IP，配合上面区块的设定，就可以做到一对一对应
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP1_IP -j SNAT --to-source $HTTP1_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP2_IP -j SNAT --to-source $HTTP2_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP3_IP -j SNAT --to-source $HTTP3_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP4_IP -j SNAT --to-source $HTTP4_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP5_IP -j SNAT --to-source $HTTP5_IP
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP6_IP -j SNAT --to-source $HTTP6_IP
# 从校内一般单机要到 WAN 的封包，在送出之前先转译来源 IP 为预设的 NIC IP，这就是多对一对应，若指定成 IP 范围，就变成多对多对应，例如本范例即是如此
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $IP_POOL
# 4.2.6 OUTPUT chain
# 4.3 mangle table
# 4.3.1 Set policies
# 4.3.2 Create user specified chains
# 4.3.3 Create content in user specified chains
# 4.3.4 PREROUTING chain
# 4.3.5 INPUT chain
# 4.3.6 FORWARD chain
# 4.3.7 OUTPUT chain
# 4.3.8 POSTROUTING chain
Log 分析
分析 iptables 防火墙 Log 的免费软件相当多，底下仅介绍 iptables_logger_v0.3，这个软件提供一个 perl 程序，可以读取系统 LOG，并将数据写入 MySql 数据库，然后还提供 php 程序，可以从数据库读取数据，整理成网页提供浏览，因此要安装此分析软件，必须先安装 perl、php、mysql 和 apache，有关这些套件的安装在这里不再介绍，请自行参考相关文件，或参加 Linux 进阶班课程。你可以从这里取得 iptables_logger_v0.3 程序，其安装程序如下：
安装数据表：
这个套件解压缩后，可以看到有一个数据夹叫做 sql，数据夹内有一个 sql 的指令稿叫做 db.sql，这个指令稿是用来建立摆放联机纪录所需的数据表，请利用以下指令来安装，如果您还不熟悉 mysql 的指令，请自行阅读 man mysql 文件。
[email=root@firewall]root@firewall[/email]
sql# mysql -u root -p（以 root 身分登入 MySql 主控台）
mysql> create database iptables;（建立一个数据库叫做 iptables，数据库也可以自行命名，但是要记得修改相关程序）
mysql> grant create,select,insert on iptables.* to
[email=iptables_admin@localhost]iptables_admin@localhost[/email]
identified by 'xx';（将 iptables 数据库新建、读取和写入权限授权给 iptables_admin 这个账号，并限制只能从本机联机，密码为 xx，请自行修改上述指令中之账号与密码）
mysql> grant create,select on iptables.* to
[email=iptables_user@localhost]iptables_user@localhost[/email]
identified by 'xx';（将 iptables 数据库读取权限授权给 iptables_user 这个账号，并限制只能从本机联机，密码为 xx，请自行修改上述指令中之账号与密码）
[email=root@firewall]root@firewall[/email]
sql# cat db.sql | mysql -u iptables_admin -p iptables（以 iptables_admin 身分来执行 db.sql，如果你改了数据库的名字，请记得修改 db.sql）
修改 iptables 指令稿：
由于这支 Log 分析程序是以读取系统 LOG 加以分析后才汇入到数据库的方法，来处理联机纪录，并非使用 ULOG 直接由 iptables 将纪录写入 mysql 数据库，感觉上效能比较差，但在 ULOG 机制尚未被实体化之前，这也不失为一个好的解决方案。
原则上只要在 iptables 指令稿中有产生 LOG 的动作，这些信息就会被分析汇入到数据表（由 feed_db.pl 负责这个工作），特别要注意的是 LOG 产生时会加入一个标头（prefix），程序是透过标头来分析这笔 LOG 的意义，请将 LOG 标头取名为 IPTABLES DROP 或 IPTABLES ACCEPT，以方便事后的统计。范例如下：
首先建立一个新的规则炼 LOG_DROP，这个规则炼用来将要丢弃的封包先 LOG 到系统日志文件，然后再丢弃。
iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '
iptables -A LOG_DROP -j DROP
接着修改所有规则，只要是需进行 DROP 动作，都改为跳到 LOG_DROP 规则炼，例如：
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP
改为
$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG_DROP
至于需要进行 ACCEPT 处理的规则也如法炮制，先建立 LOG_ACCEPT 规则炼：
iptables -N LOG_ACCEPT
iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES ACCEPT] : '
iptables -A LOG_ACCEPT -j ACCEPT
接着修改所有规则，例如：
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
改为
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j LOG_ACCEPT
安装显示分析结果的 PHP 程序：
在解压缩的数据夹中，找到一个叫做 web 的子数据夹，里面就是要给人从网页浏览分析结果的 PHP 程序，如果你的 Apache 已经设定好支持 php 和 php_mysql，那么只要将此数据夹复制到 Apache 的根文件目录就行了。方法如下：
cp -R web /var/www/iptables
拷贝完成后请修改 config.php ，目的是为了让 PHP 程序执行时，能以正确的账号密码连上 MySql ，以便从数据库读取数据，请找到底下三行：
$db_host="localhost";（一般不需修改，除非数据库在另一台主机上）
$db_user="iptables_user";（修改为仅具有读取权限的账号，如果之前安装数据库有自设帐号的话）
$db_password="xxxx";（请将密码修改为自设的密码）
安装 feed_db.pl：
前面已经介绍过这支程序的作用，请务必修改这支程序中有关数据库联机的 SQL 指令，将指令中的账号密码，改成你当初所设定的账号密码，建议最好不要用 root 身分联机，以免影响防火墙的安全性。这支程序是放在解压缩后数据夹内的 scripts 子数据夹，请修改下面这三行：
my $dsn = 'DBI:mysql:iptables:localhost';（请将 iptables 改成你自订的数据库名称）
my $db_user_name = 'iptables_admin';（请将 iptables_admin 改成你自订的管理账号）
my $db_password = 'xxxx';（请将 xxxx 改成管理账号的密码）
程序修改好后，请将它拷贝到 /usr/local/bin 数据夹，接着将程序执行起来，注意：这支程序会跑一个无穷尽循环，持续分析系统 LOG，因此必须在背景执行，同时只能有一支程序执行，以避免造成 IO 过大的负载，执行方式如下：
tail --follow=name --retry /var/log/syslog | /usr/local/bin/feed_db.pl &
如果这些动作都作了，但程序并未执行成功，有可能是因为 perl_DBI:DBD 套件没安装，请自行用 rpm 补装该套件。
查看分析结果：
完成以上所有安装步骤后，就可以坐下来享受一下成果，请打开浏览器输入底下网址
http://192.xx.1.254/iptables

看到的画面，如下图所示（请点选放大）：
安装 LOG 分析后的安全防范：
防火墙上安装越多套件，系统安全性也就越低，改进的方法有两个：
1. 将 apache 和 mysql 架设在内部网络的一台机器上，防火墙上仅安装 mysql client，这样可以避免 apache 和 mysql 的漏洞被骇客利用
2. 在防火墙上设定规则，仅允许来自内部的网络，进行 HTTP 和 MySql 联机，这个方法比较简单，本文所介绍的 iptables 范例也是采用此法，缺点是无法在校外查看 LOG 分析结果
Iptables 中文 man 文档
总览
用iptables -ADC 来指定链的规则，-A添加 -D删除 -C 修改
iptables - [RI] chain rule num rule-specification[option]    :用iptables - RI 通过规则的顺序指定
iptables -D chain rule num[option]                     :删除指定规则
iptables -[LFZ] [chain][option]                        :用iptables -LFZ 链名 [选项]
iptables -[NX] chain                                 :用 -NX 指定链
iptables -P chain target[options]                        :指定链的默认目标
iptables -E old-chain-name new-chain-name              :-E 旧的链名 新的链名 ,用新的链名取代旧的链名
说明
Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。
TARGETS :防火墙的规则指定所检查包的特征和目标。如果包不匹配，将送往该链中下一条规则检查；如   果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者 RETURN[返回]。
1), ACCEPT 表示让这个包通过。
2), DROP表示将这个包丢弃。
3), QUEUE表示把这个包传递到用户空间。
4), RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的  末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。
TABLES :当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。
-t table
这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter这是默认的表，包含了内建的链INPUT（处理进入的包）、FORWORD（处理通过的包）和OUTPUT（处理本地生成的包）。 nat这个表被查询时表示遇到了产生新的连接的包,由三个内建的链构成：PREROUTING (修改到来的包)、OUTPUT（修改路由之前本地的包）、POSTROUTING（修改准备出去的包）。mangle 这个表用来对指定的包进行修改。它有两个内建规则：PREROUTING（修改路由之前进入的包）和OUTPUT（修改路由之前本地的包）。
OPTIONS :这些可被iptables识别的选项可以区分不同的种类。
COMMANDS :这些选项指定执行明确的动作：若指令行下没有其他规定,该行只能指定一个选项.对于长格式的命令和选项名,所用字母长度只要保证iptables能从其他选项中区分出该指令就行了。
1) -A -append
在所选择的链末添加一条或更多规则。当源（地址）或者/与目的（地址）转换为多个地址时，这条规则会加到所有可能的地址(组合)后面。
2) -D -delete
从所选链中删除一条或更多规则。这条命令可以有两种方法：可以把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则。
3）-R -replace
从选中的链中取代一条规则。如果源（地址）或者/与 目的（地址）被转换为多地址，该命令会失败。规则序号从1开始。
4）-I -insert
根据给出的规则序号向所选链中插入一条或更多规则。所以，如果规则序号为1，规则会被插入链的头部。这也是不指定规则序号时的默认方式。
5）-L -list
显示所选链的所有规则。如果没有选择链，所有链将被显示。也可以和z选项一起使用，这时链会被自动列出和归零。精确输出受其它所给参数影响。
6）-F -flush
清空所选链。这等于把所有规则一个个的删除。
7）--Z -zero
把所有链的包及字节的计数器清空。它可以和 -L配合使用，在清空前察看计数器，请参见前文。
8）-N -new-chain
根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在。
9）-X -delete-chain
删除指定的用户自定义链。这个链必须没有被引用，如果被引用，在删除之前你必须删除或者替换与之有关的规则。如果没有给出参数，这条命令将试着删除每个非内建的链。
10）-P -policy
设置链的目标规则。
11）-E -rename-chain
根据用户给出的名字对指定链进行重命名，这仅仅是修饰，对整个表的结构没有影响。TARGETS参数给出一个合法的目标。只有非用户自定义链可以使用规则，而且内建链和用户自定义链都不能是规则的目标。
12）-h Help.
帮助。给出当前命令语法非常简短的说明。
PARAMETERS：以下参数构成规则详述，如用于add、delete、replace、append 和 check命令。
1）-p -protocal [!]protocol
规则或者包检查(待检查包)的协议。指定协议可以是tcp、udp、icmp中的一个或者全部，也可以是数值，代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相当于所有all。Protocol all会匹配所有协议，而且这是缺省时的选项。在和check命令结合时，all可以不被使用。
2）-s -source [!] address[/mask]
指定源地址，可以是主机名、网络名和清楚的IP地址。mask说明可以是网络掩码或清楚的数字，在网络掩码的左边指定网络掩码左边"1"的个数，因此，mask值为24等于255.255.255.0。在指定地址前加上"!"说明指定了相反的地址段。标志 --src 是这个选项的简写。
3）-d --destination [!] address[/mask]
指定目标地址，要获取详细说明请参见 -s标志的说明。标志 --dst 是这个选项的简写。
4）-j --jump target
5）-j 目标跳转
指定规则的目标；也就是说，如果包匹配应当做什么。目标可以是用户自定义链（不是这条规则所在的），某个会立即决定包的命运的专用内建目标，或者一个扩展（参见下面的EXTENSIONS）。如果规则的这个选项被忽略，那么匹配的过程不会对包产生影响，不过规则的计数器会增加。
6）-i -in-interface [!] [name]
   i -进入的（网络）接口 [!][名称]
这是包经由该接口接收的可选的入口名称，包通过该接口接收（在链INPUT、FORWORD和PREROUTING中进入的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+ "，那么将匹配任意接口。
7）-o --out-interface [!][name] ：
   -o --输出接口[名称]
这是包经由该接口送出的可选的出口名称，包通过该口输出（在链FORWARD、OUTPUT和POSTROUTING中送出的包）。当在接口名前使用"!"说明后，指的是相反的名称。如果接口名后面加上"+"，则所有以此接口名开头的接口都会被匹配。如果这个选项被忽略，会假设为"+ "，那么将匹配所有任意接口。
8）[!] -f, --fragment
   [!] -f --分片
这意味着在分片的包中，规则只询问第二及以后的片。自那以后由于无法判断这种把包的源端口或目标端口（或者是ICMP类型的），这类包将不能匹配任何指定对他们进行匹配的规则。如果"!"说明用在了"-f"标志之前，表示相反的意思。
OTHER OPTIONS 还可以指定下列附加选项：
1）-v --verbose
   -v --详细
详细输出。这个选项让list命令显示接口地址、规则选项（如果有）和TOS（Type of Service）掩码。包和字节计数器也将被显示，分别用K、M、G(前缀)表示1000、1,000,000和1,000,000,000倍（不过请参看-x标志改变它），对于添加,插入,删除和替换命令，这会使一个或多个规则的相关详细信息被打印。
2）-n --numeric
   -n --数字
数字输出。IP地址和端口会以数字的形式打印。默认情况下，程序试显示主机名、网络名或者服务（只要可用）。
3）-x -exact
   -x -精确
扩展数字。显示包和字节计数器的精确值，代替用K,M,G表示的约数。这个选项仅能用于 -L 命令。
4）--line-numbers
当列表显示规则时，在每个规则的前面加上行号，与该规则在链中的位置相对应。
MATCH EXTENSIONS 对应的扩展
iptables能够使用一些与模块匹配的扩展包。以下就是含于基本包内的扩展包 ，而且他们大多数都可以通过在前面加上!来表示相反的意思。
1）tcp
当 --protocol tcp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载。它提供以下选项：
--source-port [!] [port[:port]]
源端口或端口范围指定。这可以是服务名或端口号。使用格式端口：端口也可以指定包含的（端口）范围。如果首端口号被忽略，默认是"0"，如果末端口号被忽略，默认是"65535"，如果第二个端口号大于第一个，那么它们会被交换。这个选项可以使用 --sport的别名。
--destionation-port [!] [port:[port]]
目标端口或端口范围指定。这个选项可以使用 --dport别名来代替。
--tcp-flags [!] mask comp
匹配指定的TCP标记。第一个参数是我们要检查的标记，一个用逗号分开的列表，第二个参数是用逗号分开的标记表,是必须被设置的。标记如下： SYN ACK FIN RST URG PSH ALL NONE。因此这条命令：iptables -A FORWARD -p tcp --tcp-flags SYN, ACK, FIN, RST SYN只匹配那些SYN标记被设置而ACK、FIN和RST标记没有设置的包。
[!] --syn
只匹配那些设置了SYN位而清除了ACK和FIN位的TCP包。这些包用于TCP连接初始化时发出请求；例如，大量的这种包进入一个接口发生堵塞时会阻止进入的TCP连接，而出去的TCP连接不会受到影响。这等于 --tcp-flags SYN, RST, ACK SYN。如果"--syn"前面有"!"标记，表示相反的意思。
--tcp-option [!] number
匹配设置了TCP选项的。
2）udp
当protocol udp 被指定,且其他匹配的扩展未被指定时,这些扩展被装载,它提供以下选项：
--source-port [!] [port:[port]]
源端口或端口范围指定。详见 TCP扩展的--source-port选项说明。
--destination-port [!] [port:[port]]
目标端口或端口范围指定。详见 TCP扩展的--destination-port选项说明。
3）icmp
当protocol icmp被指定,且其他匹配的扩展未被指定时,该扩展被装载。它提供以下选项：
--icmp-type [!] typename
这个选项允许指定ICMP类型，可以是一个数值型的ICMP类型，或者是某个由命令iptables -p icmp -h所显示的ICMP类型名。
4）mac
--mac-source [!] address
匹配物理地址。必须是XX:XX:XX:XX:XX这样的格式。注意它只对来自以太设备并进入PREROUTING、FORWORD和INPUT链的包有效。
5）limit
这个模块匹配标志用一个标记桶过滤器一一定速度进行匹配,它和LOG目标结合使用来给出有限的登陆数.当达到这个极限值时,使用这个扩展包的规则将进行匹配.(除非使用了"!"标记)
--limit rate
最大平均匹配速率：可赋的值有'/second', '/minute', '/hour', or '/day'这样的单位，默认是3/hour。
--limit-burst number
待匹配包初始个数的最大值:若前面指定的极限还没达到这个数值,则概数字加1.默认值为5
8）multiport
这个模块匹配一组源端口或目标端口,最多可以指定15个端口。只能和-p tcp 或者 -p udp 连着使用。
--source-port [port[, port]]
如果源端口是其中一个给定端口则匹配
--destination-port [port[, port]]
如果目标端口是其中一个给定端口则匹配
--port [port[, port]]
若源端口和目的端口相等并与某个给定端口相等,则匹配。
9）mark
这个模块和与netfilter过滤器标记字段匹配（就可以在下面设置为使用MARK标记）。
--mark value [/mask]
匹配那些无符号标记值的包（如果指定mask，在比较之前会给掩码加上逻辑的标记）。
10）owner
此模块试为本地生成包匹配包创建者的不同特征。只能用于OUTPUT链，而且即使这样一些包（如ICMP ping应答）还可能没有所有者，因此永远不会匹配。
--uid-owner userid
如果给出有效的user id，那么匹配它的进程产生的包。
--gid-owner groupid
如果给出有效的group id，那么匹配它的进程产生的包。
--sid-owner seessionid
根据给出的会话组匹配该进程产生的包。
11）state
此模块，当与连接跟踪结合使用时，允许访问包的连接跟踪状态。
--state state
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接，ESTABLISHED表示是双向传送的连接，NEW表示包为新的连接，否则是非双向传送的，而RELATED表示包由新连接开始，但是和一个已存在的连接在一起，如FTP数据传送，或者一个 ICMP错误。
12）unclean
此模块没有可选项，不过它试着匹配那些奇怪的、不常见的包。处在实验中。
13）tos
此模块匹配IP包首部的8位tos（服务类型）字段（也就是说，包含在优先位中）。
--tos tos
这个参数可以是一个标准名称，（用iptables -m tos -h 察看该列表），或者数值。
TARGET EXTENSIONS ：iptables可以使用扩展目标模块：以下都包含在标准版中。
1）LOG
为匹配的包开启内核记录。当在规则中设置了这一选项后，linux内核会通过printk()打印一些关于全部匹配包的信息（诸如IP包头字段等）。
--log-level level
记录级别（数字或参看 syslog.conf(5)）。
--log-prefix prefix
在纪录信息前加上特定的前缀：最多14个字母长，用来和记录中其他信息区别。
--log-tcp-sequence
记录TCP序列号。如果记录能被用户读取那么这将存在安全隐患。
--log-tcp-options
记录来自TCP包头部的选项。
--log-ip-options
记录来自IP包头部的选项。
2）MARK
用来设置包的netfilter标记值。只适用于mangle表。
--set-mark mark
3）REJECT
作为对匹配的包的响应，返回一个错误的包：其他情况下和DROP相同。此目标只适用于INPUT、FORWARD和OUTPUT链，和调用这些链的用户自定义链。这几个选项控制返回的错误包的特性：
--reject-with type
Type可以是icmp-net-unreachable、icmp-host-unreachable、icmp-port- nreachable、icmp-proto-unreachable、 icmp-net-prohibited 或者 icmp-host-prohibited，该类型会返回相应的ICMP错误信息（默认是port-unreachable）。选项 echo-reply也是允许的；它只能用于指定ICMP ping包的规则中，生成ping的回应。最后，选项tcp-reset可以用于在INPUT链中,或自INPUT链调用的规则，只匹配TCP协议：将回应一个TCP RST包。
4）TOS
用来设置IP包的首部八位tos。只能用于mangle表。
--set-tos tos
你可以使用一个数值型的TOS 值，或者用iptables -j TOS -h 来查看有效TOS名列表。
5）MIRROR
这是一个试验示范目标，可用于转换IP首部字段中的源地址和目标地址，再传送该包,并只适用于INPUT、FORWARD和OUTPUT链，以及只调用它们的用户自定义链。
6）SNAT
这个目标只适用于nat表的POSTROUTING链。它规定修改包的源地址（此连接以后所有的包都会被影响），停止对规则的检查，它包含选项：
--to-source [-][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，源端口中512以下的（端口）会被安置为其他的512以下的端口；512到1024之间的端口会被安置为1024 以下的，其他端口会被安置为1024或以上。如果可能，端口不会被修改。
--to-destiontion [-][:port-port]
可以指定一个单一的新的IP地址，一个IP地址范围，也可以附加一个端口范围（只能在指定-p tcp 或者-p udp的规则里）。如果未指定端口范围，目标端口不会被修改。
7）MASQUERADE
只用于nat表的POSTROUTING链。只能用于动态获取IP（拨号）连接：如果你拥有静态IP地址，你要用SNAT。伪装相当于给包发出时所经过接口的IP地址设置一个映像，当接口关闭连接会终止。这是因为当下一次拨号时未必是相同的接口地址（以后所有建立的连接都将关闭）。它有一个选项：
--to-ports [-port>]
指定使用的源端口范围，覆盖默认的SNAT源地址选择（见上面）。这个选项只适用于指定了-p tcp或者-p udp的规则。
8）REDIRECT
只适用于nat表的PREROUTING和OUTPUT链，和只调用它们的用户自定义链。它修改包的目标IP地址来发送包到机器自身（本地生成的包被安置为地址127.0.0.1）。它包含一个选项：
--to-ports []
指定使用的目的端口或端口范围：不指定的话，目标端口不会被修改。只能用于指定了-p tcp 或 -p udp的规则。
DIAGNOSTICS 诊断
不同的错误信息会打印成标准错误：退出代码0表示正确。类似于不对的或者滥用的命令行参数错误会返回错误代码2，其他错误返回代码为1。
1）BUGS 臭虫
Check is not implemented (yet).
检查还未完成。
2）COMPATIBILITY WITH IPCHAINS 与ipchains的兼容性
iptables和Rusty Russell的ipchains非常相似。主要区别是INPUT 链只用于进入本地主机的包,而OUTPUT只用于自本地主机生成的包。因此每个包只经过三个链的一个；以前转发的包会经过所有三个链。其他主要区别是 -i 引用进入接口；-o引用输出接口，两者都适用于进入FORWARD链的包。当和可选扩展模块一起使用默认过滤器表时，iptables是一个纯粹的包过滤器。这能大大减少以前对IP伪装和包过滤结合使用的混淆，所以以下选项作了不同的处理：
-j MASQ
-M -S
-M -L
在iptables中有几个不同的链。 一个IP对多个NAT的实例:
#!/bin/bash
# Do iptables based masquerading and firewalling.
# ~spot, 09/01/2002
# Set default PATH
export PATH=/sbin:/usr/sbin:/bin:/usr/bin
# Load NAT modules
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
# Load connection-tracking modules
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
# Disable response to broadcasts.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Don't accept source routed packets.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
# Disable ICMP redirect acceptance.
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
# Enable bad error message protection
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Log spoofed packets, source routed packets, redirect packets
echo 1 > /proc/sys/net/ipv4/conf/all/log_martians
# Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Clean old iptables
iptables -F
iptables -X
iptables -Z
# Allow forwarding through the internal interface
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Default forward policy to DROP
iptables -P FORWARD DROP
# Do masquerading through eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Port Forwarding
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.100.2:22
# Firewall Rules
# Loopback - Allow unlimited traffic
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# SYN-Flooding Protection
iptables -N syn-flood
iptables -A INPUT -i eth0 -p tcp --syn -j syn-flood
iptables -A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
iptables -A syn-flood -j DROP
# Make sure that new TCP connections are SYN packets
iptables -A INPUT -i eth0 -p tcp ! --syn -m state --state NEW -j DROP
# Fragments : Don't trust the little buggers. Send 'em to hell.
iptables -A INPUT -i eth0 -f -j LOG --log-level debug --log-prefix "IPTABLES FRAGMENTS: "
iptables -A INPUT -i eth0 -f -j DROP
# Refuse spoofed packets claiming to be the loopback
iptables -A INPUT -i eth0 -d 127.0.0.0/8 -j DROP
# Allow BootP/DHCP UDP requests
iptables -A INPUT -i eth0 -p udp -d 0/0 --dport 67:68 -j ACCEPT
# DNS
# Allow UDP packets in for DNS client from nameservers
iptables -A INPUT -i eth0 -p udp -s 0/0 --sport 53 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i eth0 -p udp -d 0/0 --dport 53 -j ACCEPT
# SSH
# allow all sshd incoming connections (including the port fw)
iptables -A INPUT -i eth0 -p tcp -d 0/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -d 0/0 --dport 2222 -j ACCEPT
# HTTP
# allow all http/https incoming/return connections
iptables -A INPUT -i eth0 -p tcp -s 0/0 --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -s 0/0 --sport 443 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -d 0/0 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -d 0/0 --dport 443 -j ACCEPT
# FTP
# allow all ftpd incoming connections
iptables -A INPUT -i eth0 -p tcp -d 0/0 --dport 21 -j ACCEPT
# Enable active ftp transfers
iptables -A INPUT -i eth0 -p tcp -s 0/0 --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Enable passive ftp transfers
iptables -A INPUT -i eth0 -p tcp -s 0/0 --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Enable ident probes (IRC)
iptables -t filter -A INPUT -i eth0 -p tcp -d 0/0 --dport 113 -j ACCEPT
# Allow ICMP in if it is related to other connections
iptables -A INPUT -i eth0 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
# Allow bot traffic through
iptables -A INPUT -i eth0 -p tcp -d 0/0 --dport 8676 -j ACCEPT
# enable dcc
iptables -A INPUT -i eth0 -p tcp -m state --state RELATED -j ACCEPT
# LOGGING:
# UDP, log & drop
iptables -A INPUT -i eth0 -p udp -j LOG --log-level debug --log-prefix "IPTABLES UDP-IN: "
iptables -A INPUT -i eth0 -p udp -j DROP
# ICMP, log & drop
iptables -A INPUT -i eth0 -p icmp -j LOG --log-level debug --log-prefix "IPTABLES ICMP-IN: "
iptables -A INPUT -i eth0 -p icmp -j DROP
# Windows NetBIOS noise, log & drop
iptables -A INPUT -i eth0 -p tcp -s 0/0 --sport 137:139 -j LOG --log-level debug --log-prefix "IPTABLES NETBIOS-IN: "
iptables -A INPUT -i eth0 -p tcp -s 0/0 --sport 137:139 -j DROP
# IGMP noise, log & drop
iptables -A INPUT -i eth0 -p 2 -j LOG --log-level debug --log-prefix "IPTABLES IGMP-IN: "
iptables -A INPUT -i eth0 -p 2 -j DROP
# TCP, log & drop
iptables -A INPUT -i eth0 -p tcp -j LOG --log-level debug --log-prefix "IPTABLES TCP-IN: "
iptables -A INPUT -i eth0 -p tcp -j DROP
# Anything else not allowed, log & drop
iptables -A INPUT -i eth0 -j LOG --log-level debug --log-prefix "IPTABLES UNKNOWN-IN: "
iptables -A INPUT -i eth0 -j DROP
这个例子是做masqurede的，你的情况是做NAT，如果是静态NAT，可以如下：
然后我们将分配给A、B、C主机的公网ip绑定到iptables防火墙的外网接口，执行以下命令：
ifconfig eth0 add 202.xxx.xxx.2netmask 255.255.255.0
ifconfig eth0 add 202.xxx.xxx.3 netmask 255.255.255.0
ifconfig eth0 add 202.xxx.xxx.3 netmask 255.255.255.0
首先，对防火墙接收到的目的ip为202.xxx.xxx.1和202.xxx.xxx.2的所有数据包进行目的NAT(DNAT)， 只写两个了：
iptables -A PREROUTING -i eth0 -d 202.xxx.xxx.1 -j DNAT --to 10.10.10.1
iptables -A PREROUTING -i eth0 -d 202.xxx.xxx.2 -j DNAT --to 10.10.10.2
　　其次，对iptables防火墙接收到的源ip地址为10.10.10.1和10.10.10.2的数据包进行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 10.10.10.1 -j SNAT --to 202.xxx.xxx.1
iptables -A POSTROUTING -o eth0 -s 10.10.10.2 -j SNAT --to 202.xxx.xxx.2
这样就实现了静态一一映射。
如果要基于端口：那么就要这样：
#映射端口，以UDP5000为例子
iptables -t nat -A PREROUTING -i eth0 -d 202.xxx.xxx.1 -p udp --dport 5000 -j DNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1 -p udp --sport 5000 -j SNAT --to 202.xxx.xxx.1
#映射协议，以ICMP协议为例子
iptables -t nat -A PREROUTING -i eth0 -d 202.xxx.xxx.1 -p icmp -j DNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.1 -p icmp -j SNAT --to 202.xxx.xxx.1


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/18929/showart_116400.html