iptables內網訪問外網

1. linux iptables 做內網訪問規則，怎麼做

行了，應該在/etc/network/下子文件夾中的某個配置文件，但是事實上，因為linux有防火牆，所以事實上需要在防火牆的forward鏈上做轉發，因為數據包是先碰到防火牆過濾後才進入內核空間，如果在防火牆轉發，那個設置內核的埠轉發就沒什麼意義了。

補充回答：
聲明：本人主要使用的是debian系統，對於紅帽不是非常熟悉，所以在配置文件的路徑及命名上和你的實際情況會有出入，請酌情更改！！

首先，你需要更改/etc/sysctl.conf這個文件，找到如下行：
net.ipv4.ip_forward = 0
把0改成1打開內核轉發，然後用source命令重讀該配置文件。

然後你需要用以下命令打開forward鏈上所有的轉發，這里只給你簡單的實現forward，並沒實現保護LAN的防火牆功能，請參閱參考資料獲得iptables的詳細配置方法！
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
service iptables save
service iptables restart

附註：
man iptables
命令格式：

# iptables [-t 表名] 命令 [鏈] [規則號] [條件] [規則]

說明：⑴ -t 表名 指定規則所在的表。表名可以是 filter ,nat ,mangle (小寫)

⑵ 命令 （iptables的子命令）

-A 在指定鏈中添加規則

-D 在指定鏈中刪除指定規則

-R 修改指定鏈中指定規則

-I 在指定規則前插入規則

-L 顯示鏈中的規則

-N 建立用戶鏈

-F 清空鏈中的規則

-X 刪除用戶自定義鏈

-P 設置鏈的默認規則

-C 用具體的規則鏈來檢查在規則中的數據包

-h 顯示幫助

⑶ 條件

–i 介面名 指定接收數據包介面

-o 介面名 指定發送數據包介面

-p [!]協議名 指定匹配的協議 (tcp , udp , icmp , all )

-s [!]ip地址 [/mask] 指定匹配的源地址

--sport [!]埠號 [：埠號] 指定匹配的源埠或范圍

-d [!]ip地址 [/mask] 指定匹配的目標地址

--dport [!]埠號 [：埠號] 指定匹配的目標埠或范圍

--icmp –type [!]類型號/類型名 指定icmp包的類型

註：8 表示request 0 表示relay （應答）

-m port --multiport 指定多個匹配埠

limit --limit 指定傳輸速度

mac --mac-source 指定匹配MAC地址

sate --state NEW,ESTABLISHED,RELATED,INVALID 指定包的狀態

註：以上選項用於定義擴展規則

-j 規則 指定規則的處理方法

⑷ 規則

ACCEPT ：接受匹配條件的數據包（應用於I NPUT ,OUTPUT ,FORWARD ）

DROP ：丟棄匹配的數據包（應用於INPUT ,OUTPUT ,FORWARD ）

REJECT ：丟棄匹配的數據包且返回確認的數據包

MASQUERADE ：偽裝數據包的源地址（應用於POSTROUTING且外網地址

為動態地址，作用於NAT ）

REDIRECT ：包重定向 （作用於NAT表中PREROUTING ,OUTPUT,使用要加上--to-port 埠號 ）

TOS ： 設置數據包的TOS欄位（應用於MANGLE,要加上--set-tos 值）

SNAT ： 偽裝數據包的源地址（應用於NAT表中POSTROUTING鏈，要加上--to-source ip地址 [ip地址] ）

DNAT ： 偽裝數據包的目標地址（應用於NAT表中PREROUTING鏈，要加上--to-destination ip地址 ）

LOG ：使用syslog記錄的日誌

RETURN ：直接跳出當前規則鏈

3． iptables子命令的使用實例

⑴ 添加規則

#iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.3 –j DROP

(拒絕192.168.0.3主機發送icmp請求)

# iptables –A INPUT –p icmp –-icmp-type 8 –s 192.168.0.0/24 –j DROP

(拒絕192.168.0.0網段ping 防火牆主機，但允許防火牆主機ping 其他主機)

# iptables –A OUTPUT –p icmp –-icmp-type 0 –d 192.168.0.0/24 –j DROP

(拒絕防火牆主機向192.168.0.0網段發送icmp應答，等同於上一條指令)

# iptables –A FORWARD –d -j DROP

(拒絕轉發數據包到,前提是必須被解析)

# iptables –t nat –A POSTROUTING –s 192.168.0.0/24 –j SNAT –-to-source 211.162.11.1

(NAT，偽裝內網192.168.0.0網段的的主機地址為外網211.162.11.1,這個公有地址，使內網通過NAT上網，前提是啟用了路由轉發)

# iptables –t nat –A PREROUTING –p tcp --dport 80 –d 211.162.11.1 –j DNAT -–to-destination 192.168.0.5
(把internet上通過80埠訪問211.168.11.1的請求偽裝到內網192.168.0.5這台WEB伺服器，即在iptables中發布WEB伺服器，前提是啟用路由轉發)

# iptables –A FORWARD –s 192.168.0.4 –m mac --mac-source 00:E0:4C:45:3A:38 –j ACCEPT
(保留IP地址，綁定 IP地址與MAC地址)

⑵刪除規則
# iptables –D INPUT 3
# iptables –t nat –D OUTPUT –d 192.168.0.3 –j ACCEPT
⑶插入規則
# iptables –I FORWARD 3 –s 192.168.0.3 –j DROP
# iptables –t nat –I POSTROUTING 2 –s 192.168.0.0/24 –j DROP
⑷修改規則
# iptables –R INPUT 1 –s 192.168.0.2 –j DROP
⑸顯示規則
# iptables –L (默認表中的所有規則)
# iptables –t nat –L POSTROUTING
⑹清空規則
# iptables –F
# iptables –t nat –F PREROUTING
⑺設置默認規則
# iptables –P INPUT ACCEPT
# iptables –t nat –P OUTPUT DROP
(註：默認規則可以設置為拒絕所有數據包通過，然後通過規則使允許的數據包通過，這種防火牆稱為堡壘防火牆，它安全級別高，但不容易實現；也可以把默認規則設置為允許所有數據包通過，即魚網防火牆，它的安全級別低，實用性較差。）
⑻建立自定義鏈
# iptables –N wangkai
⑼刪除自定義鏈
# iptables –X wangkai
⑽應用自定義鏈
# iptables –A wangkai –s 192.168.0.8 –j DROP
# iptables –A INPUT –j wangkai
(註：要刪除自定義鏈，必須要確保該鏈不被引用,而且該鏈必須為空，如要刪除上例定義的自定義鏈方法為：
# iptables –D INPUT –j wangkai
# iptables -F wangkai
# iptables -X wangkai
另外,團IDC網上有許多產品團購,便宜有口碑

2. iptables 如何把外網埠全部映射到內網一台主機上

網上肯定能找到答案的，只是你沒找到或不細心。照我說的做吧，我盡量解釋清楚。
/etc/init.d/iptables start 啟動iptables

初始化iptables，刪除之前的規則，
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
允許SSH進入，要不然等下就連不上去了
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
設置默認出入站的規則
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
載入相應的模塊
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
配置默認的轉發規則
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
允許內網連接
iptables -A INPUT -i 內網網卡名（比如eth1） -j ACCEPT
啟用轉發功能
echo "1" > /proc/sys/net/ipv4/ip_forward
配置源NAT，允許內網通過主機nat上網，即所謂的網路共享
iptables -t nat -A POSTROUTING -s 內網網卡名 -o 外網網卡名 -j MASQUERADE
把FTP伺服器映射到外網
iptables -t nat -A PREROUTING -p tcp -d 58.222.1.3 --dport 21 -j DNAT --to 192.168.0.211:21

結束，別忘了保存
service iptables save
192.168.0.211的網關應該設成這成主機192.168.0.1。這樣就行了。iptables -t nat -A PREROUTING -d XXX.XXX.XXX.XXX -p tcp --dport 8767 -j dnat --to 192.168.1.3：？？ OUTPUT 二個 chain 作用。

iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

IP 偽裝
使內部網路的封包經過偽裝之後，使用對外的 eth0 網卡當作代表號，對外連線。作法如下∶

###-----------------------------------------------------###
# 啟動內部對外轉址
###-----------------------------------------------------###

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP

上述指令意指∶把 172.16.0.0/16 這個網段，偽裝成 $FW_IP 出去。

虛擬主機
利用轉址、轉 port 的方式，使外部網路的封包，可以到達內部網路中的伺服主機，俗稱虛擬主機。這種方式可保護伺服主機大部份的 port 不被外界存取，只開放公開服務的通道(如 Web Server port 80)，因此安全性甚高。

作法如下∶

###-----------------------------------------------------###
# 啟動外部對內部轉址
###-----------------------------------------------------###
# 凡對 $FW_IP:80 連線者, 則轉址至 172.16.255.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80

開放內部主機可以 telnet 至外部的主機
開放內部網路，可以 telnet 至外部主機。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open 外部主機 telnet port 23
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 23 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 23 -d $FW_IP --dport 1024:65535 -j ACCEPT

開放郵包轉遞通道
開放任意的郵件主機送信包給你的 Mail Server，而你的 Mail Server 也可以送信包過去。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open SMTP port 25
###-----------------------------------------------------###

# 以下是∶別人可以送信給你
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 1024:65535 -d $FW_IP --dport 25 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 25 -d any/0 --dport 1024:65535 -j ACCEPT

# 以下是∶你可以送信給別人
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 25 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 25 -d $FW_IP --dport 1024:65525 -j ACCEPT

開放對外離線下載信件的通道
開放內部網路可以對外部網路的 POP3 server 取信件。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open 對外部主機的 POP3 port 110
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 110 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 110 -d $FW_IP --dport 1024:65535 -j ACCEPT

開放觀看網頁的通道
開放內部網路可以觀看外部網路的網站。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open 對外部主機的 HTTP port 80
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 80 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 80 -d $FW_IP --dport 1024:65535 -j ACCEPT

開放查詢外部網路的 DNS 主機
開放內部網路，可以查詢外部網路任何一台 DNS 主機。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open DNS port 53
###-----------------------------------------------------###

# 第一次會用 udp 封包來查詢
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 若有錯誤，會改用 tcp 封包來查詢
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 53 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 開放這台主機上的 DNS 和外部的 DNS 主機互動查詢∶使用 udp
iptables -A OUTPUT -o eth0 -p udp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT
# 開放這台主機上的 DNS 和外部的 DNS 主機互動查詢∶使用 tcp
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 53 -d any/0 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! -y -s any/0 --sport 53 -d $FW_IP --dport 53 -j ACCEPT

開放內部主機可以 ssh 至外部的主機
開放內部網路，可以 ssh 至外部主機。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open 外部主機 ssh port 22
###-----------------------------------------------------###

iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 以下是 ssh protocol 比較不同的地方
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1020:1023 -d any/0 --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 22 -d $FW_IP --dport 1020:1023 -j ACCEPT

開放內部主機可以 ftp 至外部的主機
開放內部網路，可以 ftp 至外部主機。

作法如下∶(預設 policy 為 DROP)

###-----------------------------------------------------###
# open 對外部主機 ftp port 21
###-----------------------------------------------------###

# 以下是打開命令 channel 21
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 21 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 21 -d $FW_IP --dport 1024:65535 -j ACCEPT

# 以下是打開資料 channel 20
iptables -A INPUT -i eth0 -p tcp -s any/0 --sport 20 -d $FW_IP --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp ! --syn -s $FW_IP --sport 1024:65535 -d any/0 --dport 20 -j ACCEPT

# 以下是打開 passive mode FTP 資料通道
iptables -A OUTPUT -o eth0 -p tcp -s $FW_IP --sport 1024:65535 -d any/0 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp ! --syn -s any/0 --sport 1024:65535 -d $FW_IP --dport 1024:65535 -j ACCEPT

開放 ping
可以對外 ping 任何一台主機。

作法如下∶(預設 policy 為 DROP)

iptables -A OUTPUT -o eth0 -p icmp -s $FW_IP --icmp-type 8 -d any/0 -j ACCEPT
iptables -A INPUT -i eth0 -p icm -s any/0 --icmp-type 0 -d $FW_IP -j ACCEPT 、
http://www.linuxsir.org/bbs/forumdisplay.php?s=&daysprune=-1&f=32

3. linux 能訪問內網，但不能訪問外網。（我是菜鳥）求助，怎麼配置！

用iptables就可以了
iptables -F
iptables -t nat -F
iptables -A INPUT -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
iptables -A INPUT -d 192.168.0.0/16 -j DROP
iptables-save
除了192.168.0.0/16 網段之外的都不能訪問。
按照這個寫就可以了

4. iptables 靜態ip映射 內網主機ping不同轉換後的地址，但能ping通其他外網主機ip

第一看你的公網IP映射的那台電腦上是否啟用了防火牆，郵箱防火牆是禁止ping的

5. 如何把iptables外網埠全部映射到內網一台主

利用iptables把外網埠全部映射到內網一台主機上，有具體的操作過程：etc/init.d/iptables start 啟動iptables初始化iptables，
利用iptables把外網埠全部映射到內網一台主機上，有具體的操作過程：
etc/init.d/iptables start 啟動iptables
初始化iptables，刪除之前的規則，
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
允許SSH進入，要不然等下就連不上去了
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
設置默認出入站的規則
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
載入相應的模塊
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
配置默認的轉發規則
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
允許內網連接
iptables -A INPUT -i 內網網卡名(比如eth1) -j ACCEPT
啟用轉發功能
echo "1" > /proc/sys/net/ipv4/ip_forward
配置源NAT，允許內網通過主機nat上網，即所謂的網路共享
iptables -t nat -A POSTROUTING -s 內網網卡名 -o 外網網卡名 -j MASQUERADE
把FTP伺服器映射到外網
iptables -t nat -A PREROUTING -p tcp -d 58.222.1.3 --dport 21 -j DNAT --to 192.168.0.211:21
結束，別忘了保存
service iptables save
192.168.0.211的網關應該設成這成主機192.168.0.1。這樣就行了。iptables -t nat -A PREROUTING -d XXX.XXX.XXX.XXX -p tcp --dport 8767 -j dnat --to 192.168.1.3：?? OUTPUT 二個 chain 作用。
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

6. 路由器中iptables的部分代碼如下，只有10.36.25.58這個IP可以訪問內網和外網。如何添加IP段實現訪問內外網

iptables -t filter -A lan2wan -s 10.36.25.58 -j ACCEPT
你上面不是有嗎，添加一個網段iptables -t filter -A lan2wan -d 74.128.0.0/16 -j ACCEPT

7. Linux下的iptable實現nat網關。（DNS,DHCP,外網，內部區域網）

本文主要介紹如何使用iptbales實現linux2.4下的強大的NAT功能。關於iptables的詳細語法請參考「用iptales實現包過慮型防火牆」一文。需要申明的是，本文絕對不是 NAT-HOWTO的簡單重復或是中文版，在整個的敘述過程中，作者都在試圖用自己的語言來表達自己的理解，自己的思想。
一、概述
1. 什麼是NAT
在傳統的標準的TCP/IP通信過程中，所有的路由器僅僅是充當一個中間人的角色，也就是通常所說的存儲轉發，路由器並不會對轉發的數據包進行修改，更為確切的說，除了將源MAC地址換成自己的MAC地址以外，路由器不會對轉發的數據包做任何修改。NAT(Network Address Translation網路地址翻譯)恰恰是出於某種特殊需要而對數據包的源ip地址、目的ip地址、源埠、目的埠進行改寫的操作。
2. 為什麼要進行NAT
我們來看看再什麼情況下我們需要做NAT。
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息，這時候我們就可以通過NAT來提供這種服務了。我們可以在防火牆的外部網卡上綁定多個合法IP地址，然後通過NAT技術使發給其中某一個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
再比如使用撥號上網的網吧，因為只有一個合法的IP地址，必須採用某種手段讓其他機器也可以上網，通常是採用代理伺服器的方式，但是代理伺服器，尤其是應用層代理伺服器，只能支持有限的協議，如果過了一段時間後又有新的服務出來，則只能等待代理伺服器支持該新應用的升級版本。如果採用NAT來解決這個問題，
因為是在應用層以下進行處理，NAT不但可以獲得很高的訪問速度，而且可以無縫的支持任何新的服務或應用。
還有一個方面的應用就是重定向，也就是當接收到一個包後，不是轉發這個包，而是將其重定向到系統上的某一個應用程序。最常見的應用就是和squid配合使用成為透明代理，在對http流量進行緩存的同時，可以提供對Internet的無縫訪問。
3. NAT的類型
在linux2.4的NAT-HOWTO中，作者從原理的角度將NAT分成了兩種類型，即源NAT(SNAT)和目的NAT(DNAT)，顧名思義，所謂SNAT就是改變轉發數據包的源地址，所謂DNAT就是改變轉發數據包的目的地址。
二、原理
在「用iptales實現包過慮型防火牆」一文中我們說過，netfilter是Linux 核心中一個通用架構，它提供了一系列的"表"(tables)，每個表由若干"鏈"(chains)組成，而每條鏈中可以有一條或數條規則(rule)組成。並且系統預設的表是"filter"。但是在使用NAT的時候，我們所使用的表不再是"filter"，而是"nat"表，所以我們必須使用"-t nat"選項來顯式地指明這一點。因為系統預設的表是"filter"，所以在使用filter功能時，我們沒有必要顯式的指明"-t filter"。
同filter表一樣，nat表也有三條預設的"鏈"(chains)，這三條鏈也是規則的容器，它們分別是:
PREROUTING:可以在這里定義進行目的NAT的規則，因為路由器進行路由時只檢查數據包的目的ip地址，所以為了使數據包得以正確路由，我們必須在路由之前就進行目的NAT;
POSTROUTING:可以在這里定義進行源NAT的規則，系統在決定了數據包的路由以後在執行該鏈中的規則。
OUTPUT:定義對本地產生的數據包的目的NAT規則。

三、操作語法
如前所述，在使用iptables的NAT功能時，我們必須在每一條規則中使用"-t nat"顯示的指明使用nat表。然後使用以下的選項:
1. 對規則的操作
加入(append) 一個新規則到一個鏈 (-A)的最後。
在鏈內某個位置插入(insert) 一個新規則(-I)，通常是插在最前面。
在鏈內某個位置替換(replace) 一條規則 (-R)。
在鏈內某個位置刪除(delete) 一條規則 (-D)。
刪除(delete) 鏈內第一條規則 (-D)。
2. 指定源地址和目的地址
通過——source/——src/-s來指定源地址(這里的/表示或者的意思，下同)，通過——destination/——dst/-s來指定目的地址。可以使用以下四中方法來指定ip地址:
a. 使用完整的域名，如「www.linuxaid.com.cn」;
b. 使用ip地址，如「192.168.1.1」;
c. 用x.x.x.x/x.x.x.x指定一個網路地址，如「192.168.1.0/255.255.255.0」;
d. 用x.x.x.x/x指定一個網路地址，如「192.168.1.0/24」這里的24表明了子網掩碼的有效位數，這是 UNIX環境中通常使用的表示方法。
預設的子網掩碼數是32，也就是說指定192.168.1.1等效於192.168.1.1/32。
3. 指定網路介面
可以使用——in-interface/-i或——out-interface/-o來指定網路介面。從NAT的原理可以看出，對於PREROUTING鏈，我們只能用-i指定進來的網路介面;而對於POSTROUTING和OUTPUT我們只能用-o指定出去的網路介面。
4. 指定協議及埠
可以通過——protocol/-p選項來指定協議，如果是udp和tcp協議，還可——source-port/——sport和 ——destination-port/——dport來指明埠。
四、准備工作
1. 編譯內核，編譯時選中以下選項，具體可參看「用iptales實現包過慮型防火牆」一文:
Full NAT
MASQUERADE target support
REDIRECT target support
2. 要使用NAT表時，必須首先載入相關模塊:
modprobe ip_tables
modprobe ip_nat_ftp
iptable_nat 模塊會在運行時自動載入。
五、使用實例
1. 源NAT(SNAT)
比如，更改所有來自192.168.1.0/24的數據包的源ip地址為1.2.3.4:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT ——to 1.2.3.4
這里需要注意的是，系統在路由及過慮等處理直到數據包要被送出時才進行SNAT。
有一種SNAT的特殊情況是ip欺騙，也就是所謂的Masquerading，通常建議在使用撥號上網的時候使用，或者說在合法ip地址不固定的情況下使用。比如
# iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
可以看出，這時候我們沒有必要顯式的指定源ip地址等信息。
2. 目的SNAT(DNAT)
比如，更改所有來自192.168.1.0/24的數據包的目的ip地址為1.2.3.4:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT ——to 1.2.3.4
這里需要注意的是，系統是先進行DNAT，然後才進行路由及過慮等操作。
有一種DNAT的特殊情況是重定向，也就是所謂的Redirection，這時候就相當於將符合條件的數據包的目的ip地址改為數據包進入系統時的網路介面的ip地址。通常是在與squid配置形成透明代理時使用，假設squid的監聽埠是3128，我 們可以通過以下語句來將來自192.168.1.0/24，目的埠為80的數據包重定向到squid監聽
埠:
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 ——dport 80
-j REDIRECT ——to-port 3128

六、綜合例子
1. 使用撥號帶動區域網上網
小型企業、網吧等多使用撥號網路上網，通常可能使用代理，但是考慮到成本、對協議的支持等因素，建議使用ip欺騙方式帶動區域網上網。
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
#進行ip偽裝
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
2. ip映射
假設有一家ISP提供園區Internet接入服務，為了方便管理，該ISP分配給園區用戶的IP地址都是偽IP，但是部分用戶要求建立自己的WWW伺服器對外發布信息。我們可以再防火牆的外部網卡上綁定多個合法IP地址，然後通過ip映射使發給其中某一 個IP地址的包轉發至內部某一用戶的WWW伺服器上，然後再將該內部WWW伺服器響應包偽裝成該合法IP發出的包。
我們假設以下情景:
該ISP分配給A單位www伺服器的ip為:
偽ip:192.168.1.100
真實ip:202.110.123.100
該ISP分配給B單位www伺服器的ip為:
偽ip:192.168.1.200
真實ip:202.110.123.200
linux防火牆的ip地址分別為:
內網介面eth1:192.168.1.1
外網介面eth0:202.110.123.1
然後我們將分配給A、B單位的真實ip綁定到防火牆的外網介面，以root許可權執行以下命令:
ifconfig eth0 add 202.110.123.100 netmask 255.255.255.0
ifconfig eth0 add 202.110.123.200 netmask 255.255.255.0
成功升級內核後安裝iptables，然後執行以下腳本:
#載入相關模塊
modprobe ip_tables
modprobe ip_nat_ftp
首先，對防火牆接收到的目的ip為202.110.123.100和202.110.123.200的所有數據包進行目的NAT(DNAT):
iptables -A PREROUTING -i eth0 -d 202.110.123.100 -j DNAT ——to 192.168.1.100
iptables -A PREROUTING -i eth0 -d 202.110.123.200 -j DNAT ——to 192.168.1.200
其次，對防火牆接收到的源ip地址為192.168.1.100和192.168.1.200的數據包進行源NAT(SNAT):
iptables -A POSTROUTING -o eth0 -s 192.168.1.100 -j SNAT ——to 202.110.123.100
iptables -A POSTROUTING -o eth0 -s 192.168.1.200 -j SNAT ——to 202.110.123.200
這樣，所有目的ip為202.110.123.100和202.110.123.200的數據包都將分別被轉發給192.168.1.100和192.168.1.200;而所有來自192.168.1.100和192.168.1.200的數據包都將分 別被偽裝成由202.110.123.100和202.110.123.200，從而也就實現了ip映射。

8. 請問關於一條iptables規則配置，實現web地址跳轉

假設： 內網是172.16.0.0/16這個網路， WEB伺服器是172.16.0.1，策略如下：
iptables -t nat PREROUTING -s 172.16.0.0/16 -p tcp --dport 80 -j DNAT --to 172.16.0.1
這樣的話，訪問任何網站都會轉到172.16.0.1這台伺服器上。
注意，要在iptables主機上開啟路由轉發。
如果不行，可以再加上以下策略：
iptables -t nat -A POSTROUTING -j MASQUERADE
不過一般不需要的。

9. 請教，如果對內網某IP限制只能訪問某公網IP，iptables應怎樣設置

您可以採用VPN（Virtual Private Network）也就是虛擬專用網路技術。所謂虛擬是指用戶不需要擁有實際的長途數據線路，而是使用Internet公眾數據網路的長途數據線路。所謂專用網路指用戶可以為自己制定一個最符合自己需求的網路，關鍵要看自己主要做什麼用途,類似推廣,玩玩游戲之類的都可以使用雙魚IP轉換器,可選線路比較多,效果還是不錯！不妨去看看。