红旗Linux上的iptables使用简介

核心提示： 利用iptables还可以方便的架设一台网关，如果eth0连接的是外部网络，红旗Linux上的iptables使用简介(3)，而eth1连接的是局域网（192.168.0.0/24），假设在外部网络上，希望能起到抛砖引玉的作用，想要进一步学习可以在官方主页找到iptables指南，本机的I

　　利用iptables还可以方便的架设一台网关。如果eth0连接的是外部网络，而eth1连接的是局域网（192.168.0.0/24），假设在外部网络上，本机的IP为202.113.13.91，我们只需要一条命令，就可以使得局域网内部的所有主机都可以通过本机访问外部网络。

iptables –t nat –A POSTROUTING –o eth0 –s 192.168.0.0/24 –j SNAT --to 202.113.13.91

该脚本实际上是向nat表的POSTROUTING链增加了一条SNAT规则，对于所有来自局域网的需要转发的数据包，将其源地址伪装成本机IP，向外部网络发送。这样便实现了局域网网关的功能。

要记住，在这之前还需要echo 1 > /proc/sys/net/ipv4/ip_forward 以开启IP转发功能。

　　同样，利用iptables也可以轻松实现端口映射功能。例如，我们需要外部网络能够通过本机访问局域网内192.168.0.110主机的FTP服务，脚本如下：

iptables-t nat –A PREROUTING –i eth0 –p tcp –d 202.113.13.91 --dport 21 –j DNAT –to 192.168.0.110

该脚本描述的规则是：将外部网络对本机21号端口发送的TCP数据包全部DNAT给局域网内部的一台主机（当然您需要确保这台主机上开启了FTP服务），这样外部网络就可以通过202.113.13.91这个IP访问到局域网内部的FTP服务了。

可以看出iptables的参数种类繁多，且规则组合方式多种多样，只要了解数据包的流向，以及各个表和链的作用，熟练的掌握它们，就能够方便的搭建出功能丰富的网络防火墙。

iptables的网络控制功能及其强大，本文只是介绍了iptables的很小一部分，希望能起到抛砖引玉的作用，想要进一步学习可以在官方主页找到iptables指南，也可以到下面的网址找到该指南的中文译本。

http://man.lupaworld.com/content/network/iptables-tutorial-cn-1.1.19.html