創建iptables NAT 規則挺繁瑣，看下文。

　　#!/bin/sh

　　## File: rc.firewall.nat

　　## Set up iptables NAT rules.

　　IPTABLES="/usr/local/sbin/iptables"

　　EXTERNAL1="eth0"

　　EXTERNAL2="eth0"

　　INTERNAL="eth1"

　　DMZ_IF="eth2"

　　EXT_IP1="216.162.197.10/32"

　　EXT_IP2="216.162.197.11/32"

　　$IPTABLES -F -t nat

　　$IPTABLES -t nat -X

　　#####################################################################################

　　## Sentry.net EXTERNAL DNAT

　　$IPTABLES -t nat -N SENTRY_DNAT

　　$IPTABLES -t nat -F SENTRY_DNAT

　　##-----------------------------------------------------------------------------##

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 20 -j DNAT --to-destination 192.168.2.69:20

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 21 -j DNAT --to-destination 192.168.2.69:21

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 22 -j DNAT --to-destination 192.168.2.69:22

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 23 -j DNAT --to-destination 192.168.2.69:23

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 25 -j DNAT --to-destination 192.168.2.69:25

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 80 -j DNAT --to-destination 192.168.2.69:80

　　$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP1 --dport 110 -j DNAT --to-destination 192.168.2.69:110

　　##-----------------------------------------------------------------------------##

　　#####################################################################################

　　## Obsidian.net/org EXTERNAL DNAT

　　$IPTABLES -t nat -N OBS_DNAT

　　$IPTABLES -t nat -F OBS_DNAT

　　##-----------------------------------------------------------------------------##

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 20 -j DNAT --to-destination 192.168.2.42:20

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 21 -j DNAT --to-destination 192.168.2.42:21

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 22 -j DNAT --to-destination 192.168.2.42:22

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 23 -j DNAT --to-destination 192.168.2.42:23

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 25 -j DNAT --to-destination 192.168.2.42:25

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 80 -j DNAT --to-destination 192.168.2.42:80

　　$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

　　-d $EXT_IP2 --dport 110 -j DNAT --to-destination 192.168.2.42:110

　　##-----------------------------------------------------------------------------##

　　####################################################################################

#p#

　　## Sentry.net INTERNAL DNAT

　　$IPTABLES -t nat -N SENTRY_DNAT_INT

　　$IPTABLES -t nat -F SENTRY_DNAT_INT

　　##-----------------------------------------------------------------------------##

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 20 -j DNAT --to-destination 192.168.2.69:20

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 21 -j DNAT --to-destination 192.168.2.69:21

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 22 -j DNAT --to-destination 192.168.2.69:22

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 23 -j DNAT --to-destination 192.168.2.69:23

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 25 -j DNAT --to-destination 192.168.2.69:25

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 80 -j DNAT --to-destination 192.168.2.69:80

　　$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 --dport 110 -j DNAT --to-destination 192.168.2.69:110

　　##-----------------------------------------------------------------------------##

　　#####################################################################################

　　## Obsidian.net/org INTERNAL DNAT

　　$IPTABLES -t nat -N OBS_DNAT_INT

　　$IPTABLES -t nat -F OBS_DNAT_INT

　　##-----------------------------------------------------------------------------##

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 20 -j DNAT --to-destination 192.168.2.42:20

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 21 -j DNAT --to-destination 192.168.2.42:21

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 22 -j DNAT --to-destination 192.168.2.42:22

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 23 -j DNAT --to-destination 192.168.2.42:23

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 25 -j DNAT --to-destination 192.168.2.42:25

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 80 -j DNAT --to-destination 192.168.2.42:80

　　$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 --dport 110 -j DNAT --to-destination 192.168.2.42:110

　　##-----------------------------------------------------------------------------##

　　#####################################################################################

　　## DMZ_DNAT for Sentry.net

　　$IPTABLES -t nat -N SENTRY_DMZ_DNAT

　　$IPTABLES -t nat -F SENTRY_DMZ_DNAT

　　##-----------------------------------------------------------------------------##

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 20 -j DNAT --to-destination 192.168.2.69:20

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 21 -j DNAT --to-destination 192.168.2.69:21

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 22 -j DNAT --to-destination 192.168.2.69:22

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 23 -j DNAT --to-destination 192.168.2.69:23

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 25 -j DNAT --to-destination 192.168.2.69:25

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 80 -j DNAT --to-destination 192.168.2.69:80

　　$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

　　-p tcp --dport 110 -j DNAT --to-destination 192.168.2.69:110

　　##-----------------------------------------------------------------------------##

　　#####################################################################################

　　## DMZ_DNAT for Obsidian.net

　　$IPTABLES -t nat -N OBS_DMZ_DNAT

　　$IPTABLES -t nat -F OBS_DMZ_DNAT

　　##-----------------------------------------------------------------------------##

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

　　-p tcp --dport 20 -j DNAT --to-destination 192.168.2.42:20

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

　　-p tcp --dport 21 -j DNAT --to-destination 192.168.2.42:21

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.69/32 -d $EXT_IP2

　　-p tcp --dport 22 -j DNAT --to-destination 192.168.2.42:22

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

　　-p tcp --dport 23 -j DNAT --to-destination 192.168.2.42:23

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

　　-p tcp --dport 25 -j DNAT --to-destination 192.168.2.42:25

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

　　-p tcp --dport 80 -j DNAT --to-destination 192.168.2.42:80

　　$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

　　-p tcp --dport 110 -j DNAT --to-destination 192.168.2.42:110

　　##-----------------------------------------------------------------------------##

　　#####################################################################################

　　## DNAT -- MAIN

　　$IPTABLES -t nat -A PREROUTING -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP1 -j SENTRY_DNAT_INT

　　$IPTABLES -t nat -A PREROUTING -i $INTERNAL -p tcp -s 192.168.1.0/24

　　-d $EXT_IP2 -j OBS_DNAT_INT

　　$IPTABLES -t nat -A PREROUTING -i $EXTERNAL1 -p tcp -s ! 192.168.1.0/24

　　-d $EXT_IP1 -j SENTRY_DNAT

　　$IPTABLES -t nat -A PREROUTING -i $EXTERNAL2 -p tcp -s ! 192.168.1.0/24

　　-d $EXT_IP2 -j OBS_DNAT

　　$IPTABLES

通過文章的描寫，我們知道了如何創建iptables NAT 規則，希望大家能掌握它！

【編輯推薦】

• Ubuntu iptables 初始化的實現
• Ubuntu iptables 內網端口映射
• 如何使用 ubuntu iptables 防止IP攻擊
• ubuntu防火墻iptables使用指南
• iptables常用命令
• RedHat7.2下使用IPTABLES實現IP轉發
• 紅旗Linux上的iptables使用簡介