iptable实现NAT.doc

Linux 下实现代理服务器2011-4-22 1：系统环境 2 2iptables实现nat代理 2 3开机自动运行代理步骤如下 4 4：规则的保存以及自动运行 4 5：为iptables添加相应规则 4 6系统日志 8 7iptables实现nat实例 8 1Linux代理服务器网卡设置 8 2：nat实现和防火规则的添加 9 3系统日志设置 9 4验证nat 9 5查看系统日志记录 10 6规则的添加和删除 10 环境 系统Ubuntu10.04 linux服务器配置网卡两块 网卡的配置 eth0：连接外网 IP01 子网掩码 网关 DNS： 注（网卡0和网卡1的IP不能在一网段上） eth1连接局域网 IP 子网掩码 网关无 DNS无 注（eth1连接内网的网卡不需要网关DNS） IP的设置IP 子网掩码 网关 DNS： 注（局域网的IP代理服务器的IP段内网关和DNS代理服务器的IP） 切换到root权限下执行如下代码 注（完成下三个步骤在局域网内随便打开一个浏览器能正常打开访问成功） 1在内核中打开IP转发功能 echo 1 /proc/sys/net/ipv4/ip_forward 2.使局域网用户能访问internet所要做的nat iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192168.88.101 3.在PREROUTING链中添加目的地址转换规则 iptables -t nat -I PREROUTING -i eth1 -p tcp --dpor 53 -j DNAT --to-destination iptables -t nat -I PREROUTING -i eth1 -p udp --dpor 53 -j DNAT --to-destination 由网卡eth1，端口为53进来的包全部指向（做DNAT） 上规则命令参数详解 iptables -t nat： 表名是指定nat表 -I根据序号插入一条规则PREROUTING：修改到来的包 -i eth1： 指定的数据包的接口为eth1 -p tcp协议传输控制协议 --dpor 53： 用来匹配封包的目的地的端口号 -j DNAT做目标地址转换 to-destination 192168.88.1 ：（destination或-d）用来 在POSTROUTING链中添加源地址换规则 iptables -t nat -I POSTROUTING -o eth0 -s /24 -p tcp --dpor 53 -j SNAT --to-source 01：40000-50000 iptables -t nat -I POSTROUTING -o eth0 -s /24 -p udp --dpor 53 -j SNAT --to-source 01：40000-50000 由eth0，IP地址为到255之间端口号为53的出去包做源地址转换规则 上规则命令参数详解 iptables -t nat：表名是指定nat表 -I POSTROUTING准备修改出去的包 -o eth0指定封包要从那块网卡送出去 -s 192168.8.0/24：指定规则操作源地址IP为0到255之间 -p协议用户数据包协议 --dpor 53：用来匹配封包的目的地的端口号 -j SNAT-j，指定具体的处理方法NAT，做转源地址转换 --to-source 192168.88.101：用来封包的来源IP 40000-50000：端口号在四万到五万之间echo 1 /proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 01 （如加以上两句命令只能访问局域网，若想访问Internet加以下四条命令即可） iptables -t nat -I PREROUTING -i eth1 -p tcp --dpor 53 -j DNAT --to-destination iptables -t nat -I PREROUTING -i eth1 -p udp --dpor 53 -j DNAT --to-destination iptables -t nat -I POSTROUTING -o eth0 -s /24 -p tcp --dpor 53 -j SNAT --to-source 01:40000-50000 iptables -t nat -I POSTROUTING -o eth0 -s /24 -p udp --dpor 53 -j SNAT --to-