使用iptables建置Linux 防火墙(3)

核心提示： # 从校内一般单机要到 WAN 的封包，在送出之前先转译来源 IP 为预设的 NIC IP，使用iptables建置Linux 防火墙(3)(6)，这就是多对一对应，若指定成 IP 范围，请利用以下指令来安装，如果您还不熟悉 mysql 的指令，就变成多对多对应，例如本范例即是如此$IPT

# 从校内一般单机要到 WAN 的封包，在送出之前先转译来源 IP 为预设的 NIC IP，这就是多对一对应，若指定成 IP 范围，就变成多对多对应，例如本范例即是如此

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $IP_POOL

#

# 4.2.6 OUTPUT chain

#

######

# 4.3 mangle table

#

#

# 4.3.1 Set policies

#

#

# 4.3.2 Create user specified chains

#

#

# 4.3.3 Create content in user specified chains

#

#

# 4.3.4 PREROUTING chain

#

#

# 4.3.5 INPUT chain

#

#

# 4.3.6 FORWARD chain

#

#

# 4.3.7 OUTPUT chain

#

#

# 4.3.8 POSTROUTING chain

#

柒、Log 分析

分析 iptables 防火墙 Log 的免费软件相当多，底下仅介绍 iptables_logger_v0.3，这个软件提供一个 perl 程序，可以读取系统 LOG，并将数据写入 MySql 数据库，然后还提供 php 程序，可以从数据库读取数据，整理成网页提供浏览，因此要安装此分析软件，必须先安装 perl、php、mysql 和 apache，有关这些套件的安装在这里不再介绍，请自行参考相关文件，或参加 Linux 进阶班课程。你可以从这里取得 iptables_logger_v0.3 程序，其安装程序如下：

安装数据表：

这个套件解压缩后，可以看到有一个数据夹叫做 sql，数据夹内有一个 sql 的指令稿叫做 db.sql，这个指令稿是用来建立摆放联机纪录所需的数据表，请利用以下指令来安装，如果您还不熟悉 mysql 的指令，请自行阅读 man mysql 文件。

root@firewall sql# mysql -u root -p（以 root 身分登入 MySql 主控台）