linux系统防火墙作IP地址映射

1、环境

服务器IP地址：192.168.1.2

Linux操做系统IP地址：192.168.1.3（eth0）；192.168.10.20（eth1）

客户端IP地址：192.168.10.30

拓扑图以下：

2、配置

一、  开启防火墙数据转发功能

配置文件：/proc/sys/net/ipv4/ip_forward

该配置文件中默认值为0，将值改成1

注：0表示此功能能关闭；1表示此功能开启。

 

2、linux操做系统中的IPTABLES

用到的命令：

（1）查看目前本机的防火墙规则：iptables –L –n

参数：

-L：列出目前的table固然规则

-n：不进行IP和HOSTNAME的反查，显示信息的速度会快不少。

（2）清空原有防火墙规则：iptables  [-FXZ]

参数：

-F：清除全部的已定制的规则

-X：除掉全部用户“自定义”的chain

-Z：将全部的chain的计数与流量统计都归零

（3）经过命令配置防火墙转发功能

A．首先，当客户端发起到服务器的链接请求：数据包先从客户端（192.168.10.30）发出，到达linux主机（192.168.10.20），通过防火墙将数据包封装新的数据包头（192.168.1.3）。简单来讲就是数据包通过linux主机防火墙时，通过数据包头转换，将旧的源地址（客户端地址：192.168.10.30）改成新的源地址（linux）

命令：

iptables -t nat –A POSTROUTING –s192.168.10.30 –o eth0 -j SNAT --to-source 192.168.1.3

参数：

-t：后面接table，例如nat或者filter，省略此项时默认使用filter

-A 链名：新增一条规则，该规则增长在原规则的最后面。例如原来有两条规则，使用-A后就是加上第三条规则。

-io 网路接口：设置数据包进出的接口规范

   -o：数据包所进入的那个网络接口。与POSTROUTING（修改来源IP）结合。

   -i：数据包所传出的那个网络接口。与PREROTING（修改目的IP）结合。

-s 来源IP/网络：设置此规则的数据包的来源地；-d：目标IP/网络：同-s，只不过这里指的是目标的的ip/网络

-j：后面接操做；SNAT:修改数据包报头的来源项目  DNAT：修改数据包报头的目的项目

 

B.当数据包从客户端发出到eth1后再次进行转换：

命令：

iptables-t nat –A PREROUTING -d 192.168.10.20 -i eth0 –j DNAT --to-destination192.168.1.2

一样的，当服务器收到客户端请求返回数据包：

iptables –t nat –A POSTROUTING -s 192.168.1.2-o eth1 -j SNAT --to-source 192.168.10.20

iptables -t nat -A PREROUTING -d 192.168.1.3-i eth1 -j DNAT --to-distination 192.168.10.30

至此防火墙配置完成。

以上有不足或者错误的地方敬请指正！