超级会员免费看
深入理解 iptables 防火墙策略配置与测试
1. 网络地址转换(NAT)配置
在构建 iptables 策略时,网络地址转换(NAT)是关键的一步。它能将内部非路由的 192.168.10.0/24 地址转换为可路由的外部 71.157.X.X 地址,适用于外部客户端对内部 Web 和 DNS 服务器的入站连接,以及内部网络系统发起的出站连接。
对于内部系统发起的连接,使用源 NAT(SNAT)目标;对于外部系统发起的连接,使用目标 NAT(DNAT)目标。iptables 的 nat 表专门用于所有 NAT 规则,其中包含两个链:PREROUTING 和 POSTROUTING。
- PREROUTING 链:用于对尚未经过内核路由算法的数据包应用 nat 表规则,这些数据包也未与 filter 表中的 INPUT 或 FORWARD 链进行比较。
- POSTROUTING 链:负责处理已经过内核路由算法,即将在计算出的物理接口上传输的数据包,这些数据包已通过 filter 表中 OUTPUT 或 FORWARD 链的要求。
以下是具体的 NAT 规则配置命令:
echo "[+] Setting up NAT rules..."
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.10.3:80
$IPTABLES -t nat -A PREROUTING -p tcp --dport 443 -i eth0 -j DNAT --to 192.168.10.3:443
订阅专栏 解锁全文
扫一扫
66
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
