简释iptables防火墙

-A PREROUTING –p tcp --dport 110 –j ACCEPT

-A PREROUTING –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --dport 110 –j ACCEPT

-A FORWARD –p tcp --sport 110 –j ACCEPT

-A FORWARD –p tcp --dport 25 –j ACCEPT

-A FORWARD –p tcp --sport 25 –j ACCEPT

5、 内部机器对外发布WEB。

要把内网机器192.168.5.179的WEB对外发布的话，相当于是从外网访问内网。与第1步操作的局域网共享上网相同，只是访问的方向改变了。 不是从内网访问外网，而是从外网访问内网。

当公网访问服务器218.100.100.111时，防火墙把它映射到内网的192.168.5.179的TCP80上。当内网机器访问服务器218.100.100.111时，防 火墙把它映射到内网的192.168.5.179的TCP80上。

-A PREROUTING –i eth0 –p tcp –d 218.100.100.111 --dport 80 –j DNAT --to-destination 192.168.5.179:80

-A PREROUTING –i eth1 –p tcp –d 218.100.100.111 –dport 80 –j DNAT --to-destination 192.168.5.179:80

（以上两句必须写在 –A PREROUTING –p tcp --dport 80 –j ACCEPT 前面。）

TCP 80端口的转发在第1步就已做过，此处就不用重复制作了。另外在

-A POSTROUTING –s 192.168.5.0/24 –j SNAT --to 218.100.100.111 之后加上一句:

-A POSTROUTING –o eth1 –s 0/0 –j SNAT --to 192.168.5.1

为什么要加这句话呢，我的理解是这样的，

公网访问 http://218.100.100.111时：（假设公网上用户的IP为199.199.199.199,端口12345为随机的产生的。）