RedHat 9上用iptables做NAT網(wǎng)和記錄日志，上面兩個(gè)功能都能用iptables來(lái)實(shí)現(xiàn)！

　　RedHat 9上用iptables做NAT網(wǎng)關(guān)- -我使用中的設(shè)置

　　一、將下列內(nèi)容加入/etc/rc.local文件中：

　　注：eth0綁內(nèi)網(wǎng)IP eth1綁外網(wǎng)IP

　　[root@RHNAT01 root]# vi /etc/rc.local

　　#!/bin/sh  
 
　　# This script will be executed *after* all the other init scripts.  
 
　　# You can put your own initialization stuff in here if you don’t  
 
　　# want to do the full Sys V style init stuff.  
 

　　touch /var/lock/subsys/local

　　route add -net 0.0.0.0 gw 外網(wǎng)網(wǎng)關(guān) netmask 0.0.0.0 dev eth1

　　route add -net 內(nèi)網(wǎng)網(wǎng)段A gw 內(nèi)網(wǎng)網(wǎng)關(guān) netmask 255.255.240.0 dev eth0

　　route add -net 220.114.128.0 gw 211.162.0.129 netmask 255.255.224.0 dev eth0

　　route add -net 內(nèi)網(wǎng)網(wǎng)段B gw 內(nèi)網(wǎng)網(wǎng)關(guān) netmask 255.255.255.0 dev eth0

　　route add -net 內(nèi)網(wǎng)網(wǎng)段C gw 內(nèi)網(wǎng)網(wǎng)關(guān) netmask 255.255.255.0 dev eth0

　　route add -net 內(nèi)網(wǎng)網(wǎng)段D gw 內(nèi)網(wǎng)網(wǎng)關(guān) netmask 255.255.0.0 dev eth0

　　route add -net 內(nèi)網(wǎng)網(wǎng)段E gw 內(nèi)網(wǎng)網(wǎng)關(guān) netmask 255.255.0.0 dev eth0

　　echo 1048576 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max

　　sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=1800

　　echo "1" > /proc/sys/net/ipv4/tcp_syncookies

　　echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

　　echo 268435456 >/proc/sys/kernel/shmall

　　echo 268435456 >/proc/sys/kernel/shmmax

　　echo "1024 65000" > /proc/sys/net/ipv4/ip_local_port_range

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　/sbin/modprobe ip_tables

　　/sbin/modprobe iptable_filter

　　/sbin/modprobe iptable_nat

　　/sbin/modprobe ip_conntrack

　　/sbin/modprobe ip_conntrack_ftp

　　/sbin/modprobe ip_nat_ftp

　　/sbin/iptables --flush INPUT

　　/sbin/iptables --flush FORWARD

　　/sbin/iptables --flush POSTROUTING --table nat

　　/sbin/iptables --policy FORWARD DROP

　　/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內(nèi)網(wǎng)網(wǎng)段A/19 --jump MASQUERADE

　　/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內(nèi)網(wǎng)網(wǎng)段B/18 --jump MASQUERADE

　　/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內(nèi)網(wǎng)網(wǎng)段C/24 --jump MASQUERADE

　　/sbin/iptables --table nat --append POSTROUTING --out-interface eth1 --source 內(nèi)網(wǎng)網(wǎng)段D/24 --jump MASQUERADE

　　/sbin/iptables --append FORWARD --in-interface eth1 (此處填外網(wǎng)IP網(wǎng)口)--match state --state ESTABLISHED,RELATED --jump ACCEPT

　　/sbin/iptables --append FORWARD --source 內(nèi)網(wǎng)網(wǎng)段A/19 --jump ACCEPT

　　/sbin/iptables --append FORWARD --source 內(nèi)網(wǎng)網(wǎng)段B/18 --jump ACCEPT

　　/sbin/iptables --append FORWARD --source 內(nèi)網(wǎng)網(wǎng)段C/24 --jump ACCEPT

　　/sbin/iptables --append FORWARD --source 內(nèi)網(wǎng)網(wǎng)段D/24 --jump ACCEPT

　　/sbin/iptables -I FORWARD -m state --state NEW -j LOG --log-level debug

　　/sbin/iptables --table nat --append POSTROUTING --out-interface eth0(內(nèi)網(wǎng)口) -j SNAT --to *.*.*.*(外網(wǎng)IP)

　　設(shè)置完成

#p#

　　二、日志保存

　　vi /etc/syslog.conf

　　在原來(lái)不動(dòng)的基礎(chǔ)上添加

　　#remote net recevie stepup  
 

　　kern.=debug @*.*.*.X #保存本地就用此句 -/var/log/iptables.log

　　*.* @*.*.*.X

　　至此完成Iptables Nat的設(shè)置和遠(yuǎn)程日志發(fā)送設(shè)置

　　幾個(gè)命令

　　################

　　service syslog restart

　　Syslog服務(wù)重新載入

　　iptables -L

　　這個(gè)命令會(huì)盡可能地以易讀的形式顯示當(dāng)前正在使用的規(guī)則集。比如，他會(huì)盡量用文件/etc/services里相應(yīng)的名字表示端口號(hào)，用相應(yīng)的DNS記錄表示IP地址。

　　但后者可能會(huì)導(dǎo)致一些問(wèn)題，例如，他想盡力把LAN的IP地址(如192.168.1.1)解析成相應(yīng)的名字。但192.168.0.0/16這個(gè)網(wǎng)段是私有的，也就是說(shuō)，他只能

　　用在局域網(wǎng)里，而不能在Internet里使用，所以他不會(huì)被Internet上的DNS服務(wù)器解析。因此，當(dāng)解析這個(gè)地址時(shí)，命令就似乎停在那兒了。為了避免這種情況

　　的發(fā)生，我們就要使用選項(xiàng)：

　　iptables -L -n

　　如果你想看看每個(gè)策略或每條規(guī)則、每條鏈的簡(jiǎn)單流量統(tǒng)計(jì)，能在上面的命令后再加一個(gè)verbose標(biāo)志，如下：

　　iptables -L -n -v

　　不要忘了，iptables -L命令還能查看nat表和mangle表的內(nèi)容哦(更不要忘了，默認(rèn)的表是filter)，只需要使用-t選項(xiàng),比如我們只想看nat表的規(guī)則，就

　　用下面的命令：

　　iptables -L -t nat

　　在/proc里，可能更有一些文件你會(huì)感興趣。比如，你能在連接跟蹤記錄表里看到當(dāng)前有哪些連接。這個(gè)表包含了當(dāng)前的所有連接，你還能通過(guò)他了解到每個(gè)

　　連接處于什么狀態(tài)。要注意，這個(gè)表是不能編輯的，即使能，也不應(yīng)該更改他。能用下面的命令查看這個(gè)表：

　　cat /proc/net/ip_conntrack | less

　　此命令會(huì)顯示當(dāng)前所有被跟蹤的連接，但要讀懂那些記錄可是有些難度哦。

　　修正和清空iptables的命令 iptables -D INPUT 10

　　iptables -F INPUT

　　iptables --list查看過(guò)濾表

通過(guò)閱讀上面的文章，我們不難發(fā)現(xiàn)在RedHat 9上用iptables做NAT網(wǎng)和記錄日志很簡(jiǎn)單很方便，快跟朋友分享吧！

【編輯推薦】

• iptables下開(kāi)放ftp連接
• Linux iptables將nat中內(nèi)網(wǎng)多臺(tái)ftp服務(wù)器映射出去
• Linux Iptables 內(nèi)核添加time模塊
• Linux防火墻Iptables入門(mén)筆記
• Linux Iptables 語(yǔ)法大全
• 用iptables做IP的靜態(tài)映射
• 如何把iptables外網(wǎng)端口全部映射到內(nèi)網(wǎng)一臺(tái)主機(jī)上
• 配置Linux 內(nèi)核并利用iptables 做端口映射