利用iptables把外網(wǎng)端口全部映射到內(nèi)網(wǎng)一臺(tái)主機(jī)上，有具體的操作過(guò)程：

　　etc/init.d/iptables start 啟動(dòng)iptables

　　初始化iptables，刪除之前的規(guī)則，

　　iptables -F

　　iptables -X

　　iptables -Z

　　iptables -F -t nat

　　iptables -X -t nat

　　iptables -Z -t nat

　　允許SSH進(jìn)入，要不然等下就連不上去了

　　iptables -A INPUT -p TCP --dport 22 -j ACCEPT

　　設(shè)置默認(rèn)出入站的規(guī)則

　　iptables -P INPUT DROP

　　iptables -P OUTPUT ACCEPT

　　iptables -P FORWARD ACCEPT

　　iptables -A INPUT -i lo -j ACCEPT

　　iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

　　載入相應(yīng)的模塊

　　modprobe ip_tables

　　modprobe iptable_nat

　　modprobe ip_nat_ftp

　　modprobe ip_conntrack

　　modprobe ip_conntrack_ftp

　　配置默認(rèn)的轉(zhuǎn)發(fā)規(guī)則

　　iptables -t nat -P PREROUTING ACCEPT

　　iptables -t nat -P POSTROUTING ACCEPT

　　iptables -t nat -P OUTPUT ACCEPT

　　允許內(nèi)網(wǎng)連接

　　iptables -A INPUT -i 內(nèi)網(wǎng)網(wǎng)卡名(比如eth1) -j ACCEPT

　　啟用轉(zhuǎn)發(fā)功能

　　echo "1" > /proc/sys/net/ipv4/ip_forward

　　配置源NAT，允許內(nèi)網(wǎng)通過(guò)主機(jī)nat上網(wǎng)，即所謂的網(wǎng)絡(luò)共享

　　iptables -t nat -A POSTROUTING -s 內(nèi)網(wǎng)網(wǎng)卡名 -o 外網(wǎng)網(wǎng)卡名 -j MASQUERADE

　　把FTP服務(wù)器映射到外網(wǎng)

　　iptables -t nat -A PREROUTING -p tcp -d 58.222.1.3 --dport 21 -j DNAT --to 192.168.0.211:21

　　結(jié)束，別忘了保存

　　service iptables save

　　192.168.0.211的網(wǎng)關(guān)應(yīng)該設(shè)成這成主機(jī)192.168.0.1。這樣就行了。iptables -t nat -A PREROUTING -d XXX.XXX.XXX.XXX -p tcp --dport 8767 -j dnat --to 192.168.1.3：?? OUTPUT 二個(gè) chain 作用。

　　iptables -A INPUT -i eth1 -j ACCEPT

　　iptables -A OUTPUT -o eth1 -j ACCEPT

　　iptables -A FORWARD -i eth1 -j ACCEPT

　　iptables -A FORWARD -o eth1 -j ACCEPT

#p#

　　IP 偽裝

　　使內(nèi)部網(wǎng)路的封包經(jīng)過(guò)偽裝之后，使用對(duì)外的 eth0 網(wǎng)卡當(dāng)作代表號(hào)，對(duì)外連線。作法如下∶

　　###-----------------------------------------------------###

　　# 啟動(dòng)內(nèi)部對(duì)外轉(zhuǎn)址

　　###-----------------------------------------------------###

　　iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP

　　上述指令意指∶把 172.16.0.0/16 這個(gè)網(wǎng)段，偽裝成 $FW_IP 出去。

　　虛擬主機(jī)

　　利用轉(zhuǎn)址、轉(zhuǎn) port 的方式，使外部網(wǎng)路的封包，可以到達(dá)內(nèi)部網(wǎng)路中的伺服主機(jī)，俗稱虛擬主機(jī)。這種方式可保護(hù)伺服主機(jī)大部份的 port 不被外界存取，只開(kāi)放公開(kāi)服務(wù)的通道(如 Web Server port 80)，因此安全性甚高。

　　作法如下∶

　　###-----------------------------------------------------###

　　# 啟動(dòng)外部對(duì)內(nèi)部轉(zhuǎn)址

　　###-----------------------------------------------------###

　　# 凡對(duì) $FW_IP:80 連線者, 則轉(zhuǎn)址至 172.16.255.2:80

　　iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80

　　開(kāi)放內(nèi)部主機(jī)可以 telnet 至外部的主機(jī)

　　開(kāi)放內(nèi)部網(wǎng)路，可以 telnet 至外部主機(jī)。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open 外部主機(jī) telnet port 23

　　###-----------------------------------------------------###

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　開(kāi)放郵包轉(zhuǎn)遞通道

　　開(kāi)放任意的郵件主機(jī)送信包給你的 Mail Server，而你的 Mail Server 也可以送信包過(guò)去。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open SMTP port 25

　　###-----------------------------------------------------###

　　# 以下是∶別人可以送信給你

　　iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT

　　iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

　　# 以下是∶你可以送信給別人

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

　　開(kāi)放對(duì)外離線下載信件的通道

　　開(kāi)放內(nèi)部網(wǎng)路可以對(duì)外部網(wǎng)路的 POP3 server 取信件。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open 對(duì)外部主機(jī)的 POP3 port 110

　　###-----------------------------------------------------###

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　開(kāi)放觀看網(wǎng)頁(yè)的通道

　　開(kāi)放內(nèi)部網(wǎng)路可以觀看外部網(wǎng)路的網(wǎng)站。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open 對(duì)外部主機(jī)的 HTTP port 80

　　###-----------------------------------------------------###

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT#p#

#p#

　　開(kāi)放查詢外部網(wǎng)路的 DNS 主機(jī)

　　開(kāi)放內(nèi)部網(wǎng)路，可以查詢外部網(wǎng)路任何一臺(tái) DNS 主機(jī)。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open DNS port 53

　　###-----------------------------------------------------###

　　# ***次會(huì)用 udp 封包來(lái)查詢

　　iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

　　iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　# 若有錯(cuò)誤，會(huì)改用 tcp 封包來(lái)查詢

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　# 開(kāi)放這臺(tái)主機(jī)上的 DNS 和外部的 DNS 主機(jī)互動(dòng)查詢∶使用 udp

　　iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

　　iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

　　# 開(kāi)放這臺(tái)主機(jī)上的 DNS 和外部的 DNS 主機(jī)互動(dòng)查詢∶使用 tcp

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

　　開(kāi)放內(nèi)部主機(jī)可以 ssh 至外部的主機(jī)

　　開(kāi)放內(nèi)部網(wǎng)路，可以 ssh 至外部主機(jī)。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open 外部主機(jī) ssh port 22

　　###-----------------------------------------------------###

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　# 以下是 ssh protocol 比較不同的地方

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

　　開(kāi)放內(nèi)部主機(jī)可以 ftp 至外部的主機(jī)

　　開(kāi)放內(nèi)部網(wǎng)路，可以 ftp 至外部主機(jī)。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　###-----------------------------------------------------###

　　# open 對(duì)外部主機(jī) ftp port 21

　　###-----------------------------------------------------###

　　# 以下是打開(kāi)命令 channel 21

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　# 以下是打開(kāi)資料 channel 20

　　iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

　　# 以下是打開(kāi) passive mode FTP 資料通道

　　iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT

　　iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

　　開(kāi)放 ping

　　可以對(duì)外 ping 任何一臺(tái)主機(jī)。

　　作法如下∶(預(yù)設(shè) policy 為 DROP)

　　iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT

　　iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT 、

通過(guò)上文的文章的描寫(xiě)和例子的說(shuō)明，我們可以清楚了解到把iptables外網(wǎng)端口全部映射到內(nèi)網(wǎng)一臺(tái)主機(jī)上的具體過(guò)程！

【編輯推薦】

1. 配置Linux 內(nèi)核并利用iptables 做端口映射
2. iptables映射端口具體操作
3. linux下清空所有iptables規(guī)則
4. 用iptables做地址映射
5. 保存iptables的防火墻規(guī)則的方法
6. iptables日志通過(guò)MySQL來(lái)保存
7. 關(guān)掉Iptables防火墻的相關(guān)的命令