在學習iptables時，我們應該知道這兩個NAT、端口映射東西，現在我給大家講解下！

　　實現目標：

　　利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器!同時實現了內網WEB服務器的端口映射!并且解決了WEB服務器訪問者IP都為代理服務器IP的問題!同時內外網皆可正常通過公網IP訪問內網的WEB服務器!實現目標：

　　利用iptabels給局域網做NAT透明代理，比如網吧或公司企業的上網代理服務器!同時實現了內網WEB服務器的端口映射!并且解決了WEB服務器訪問者IP都為代理服務器IP的問題!同時內外網皆可正常通過公網IP訪問內網的WEB服務器!(加了SQUID后還沒有成功，努力中!)

　　軟硬件環境如下：

　　操作系統為 RHEL 4 ，3COM網卡兩張，eth0為外網網卡，IP為：221.222.111.10; eth1為內網網卡，IP為：192.168.0.1; 內網WEB服務器IP為：192.168.0.200 。網絡環境為：中國電信10M光纖，固定IP!

　　方法為如下：

　　首先我注釋掉了iptables文件原始的全部內容，然后在iptables文件中寫入如下內容!

　　##################################### Nat段開始 #########################################

　　*nat

　　:PREROUTING ACCEPT [0:0]

　　:OUTPUT ACCEPT [0:0]

　　:POSTROUTING ACCEPT [0:0]

　　#

　　#------------------------------ Web Server 端口映射 ------------------------------

　　# 192.168.0.200 端口80

　　######################

　　# 用DNAT作端口映射!注意以下指令一定要在NAT透明代理的前面，否則無效!

　　-A PREROUTING -i eth1 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80

　　-A PREROUTING -i eth0 -p tcp -d 221.222.111.10 --dport 80 -j DNAT --to-destination 192.168.0.200:80

　　#

　　#------------------------------ Iptables NAT 透明代理 ------------------------------

　　#

　　-A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to 221.222.111.10

　　#

　　COMMIT

　　##################################### Nat段結束 #########################################

#p#

　　###################################### Filter段開始 #####################################

　　#

　　*filter

　　:INPUT ACCEPT [0:0]

　　:FORWARD ACCEPT [0:0]

　　:OUTPUT ACCEPT [0:0]

　　#

　　#防止網絡上其它計算機使用Ping命令探測本機：

　　-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP

　　#

　　# 防止廣播包從IP代理服務器進入局域網：

　　-A INPUT -s 255.255.255.255 -i eth0 -j DROP

　　-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP

　　-A INPUT -d 0.0.0.0 -i eth0 -j DROP

　　# 屏蔽掉以下的TCP和UDP端口：

　　-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP

　　-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP

　　-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP

　　-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP

　　-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP

　　-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP

　　#

　　COMMIT

　　###################################### Filter段結束 #####################################

　　修改完以上的文件后，再將/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ，這個很重要，不然NAT代理不能生效的!

　　然后用#: service iptables restart 這個指令重起iptables 服務!!OK，你再試試看代理服務和WEB能否則正常訪問，我想一定可以的!

　　附：

　　Web Server 端口映射一定要在 Iptables NAT透明代理指令前面，否則內網用戶將無法通過公網IP或域名訪問內網的Web服務器!

通過文章，我們知道了iptables的NAT+端口映射方法。希望對你們有用！

【編輯推薦】

1. 如何查看iptables關于nat的日志
2. RedHat 9上用iptables做NAT網和記錄日志
3. iptables下開放ftp連接
4. Linux iptables將nat中內網多臺ftp服務器映射出去
5. Linux Iptables 內核添加time模塊
6. Linux防火墻Iptables入門筆記