【51CTO.com獨家特稿】Iptables的基本語法(更好的理解后面的網關NAT腳本):

iptables [-t表名] <-A| I |D |R>  鏈名[規則編號] [-i | o 網卡名稱] [-p 協議類型] [-s 源IP地址 | 源子網][--sport 源端口號] [-d 目標IP地址 | 目標子網][--dport 目標端口號] <-j 動作 >

INPUT鏈：當一個數據包由內核中的路由計算確定為本地Linux系統后,它會通過INPUT鏈的檢查。             

OUTPUT鏈：保留給系統自身生成的數據包。

FORWARD鏈：經過Linux系統路由的數據包(即當iptables防火墻用于連接兩個網絡,兩個網絡之間的數據包必須流經該防火墻)。

PREROUTING鏈：用于修改目的地地址(DNAT)。

POSTROUTING鏈：用于修改源地址(SNAT)。

◆轉發和NAT的語義在iptables是獨立的。轉發數據包的功能是在filter表中通過使用FORWARD規則鏈來完成；而NAT功能是在nat通過使用PREROUTING、POSTROUTING規則鏈來完成。混淆這二個概念對它們的功能并沒有影響，但現在記住它們的區別是很重要的。轉發和NAT是二個不同的功能和技術；轉發是一個路由功能，而NAT是在nat表中定義的一個轉換功能。

Iptables作網關NAT路由器，啟動的是NAT的地址偽裝功能SNAT/MASQUERADE，具體以公司NAT路由腳本/root/firewall.sh實例來說明下:

此腳本實現功能如下:

①因為是綁定mac地址上網，企業內部客戶機如綁定mac后可杜絕局域網內ARP病毒；

②對局域網內機器上網嚴格控制，每增加一臺工作用機，就必須重新刷新NAT服務器的ip-mac對應關系；嚴格杜絕了公司外來用機上網問題(有的員工周末加班時喜歡帶自己手提)，在安全問題上做到防患于未然；

③配合NAT網關服務器的監控軟件NTOP+iptraf，可以做到及時監控每臺主機的流量情況，如發現流量異常可及時通知網管或行政處理；

④經工作實際使用發現，此腳本作NAT網關路由器時，可將公司10M電信光纖帶寬發揮得極致，即一個員工用迅雷，整個公司均打不開網頁。

⑤網關NAT服務器也適合做局域網的文件服務器，提供vsftpd，samba服務等；

⑥看過一些其它linux愛好者寫過的腳本，感覺沒此腳本精簡方便；這里感謝3158.com技術總監唐老師提供技術性指導。

#!/bin/bash

#為了方便調試工作，將防火墻規則寫成腳本形式方便調試。

echo "1" > /proc/sys/net/ipv4/ip_forward
arp -f /root/mac.txt

#以mac.txt文件定義的主機ip及mac地址來代替原有arp對應關系；每增加一臺工作用機，就要重新運行一次此腳本。

#當iptables對filter nat mangle任意一表進行操作時，會自動加進iptable_nat模塊；這個可以不寫

modprobe iptable_nat

#加載狀態檢測機制，state模塊時用到，這個必寫

modprobe ip_conntrack

#ip_conntrack_ftp是本機做FTP時用到的，這個看你的網關NAT用不用FTP，我這里用到了所以寫上了

modprobe ip_conntrack_ftp

#ip_nat_ftp是通過本機的FTP時需要用到的，這個我系統用到了。

modprobe ip_nat_ftp

#清除本網關的Filter、FORWARD、POSTROUTIG鏈的默認規則

iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat

#將FORWARD的默認策略設置為禁止一切(基于最安全原則考慮)

iptables -P FORWARD DROP

#客戶機綁定mac地址才能上網，這樣防止惡意增加IP在公司內部上網，引起不安全隱患。

cat /root/mac.txt | while read LINE
do       
ipad =`echo $LINE | awk '{print $1}'`      
macd =`echo $LINE | awk '{print $2}'`
iptables -A FORWARD -s $ipad -m mac --mac-source $macd -j ACCEPT
done

#網關上有幾塊網卡，eth0接的是外網IP地址，eth1、eth2等對應該局域網IP，因是租用了電信的光纖，不存在著ADSL上網情況。

iptables -A FORWARD -i eth1 -m state
--state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24
-j SNAT --to 59.195.233.234

/root/mac.txt部分內容如下：

192.168.1.50 00:16:D3:F6:BD:F5
192.168.1.57 00:16:36:B4:6C:5D
192.168.1.58 00:13:D3:20:04:12
192.168.1.59 00:1E:37:15:18:59
192.168.1.60 00:16:D3:5F:23:B7
192.168.1.65 00:E0:4C:01:1B:85
192.168.1.66 00:1E:37:15:18:59
192.168.1.67 00:E0:B1:B2:58:18
192.168.1.68 00:15:58:20:47:18
192.168.1.80 00:17:31:67:98:DA
192.168.1.88 00:E0:4C:01:1B:85
192.168.1.93 00:21:85:30:7F:DE
192.168.1.94 00:E2:1C:D1:60:41
192.168.1.97 00:13:D3:5E:2F:12
192.168.1.98 00:1D:0F:0F:CC:A2
192.168.1.99 00:19:DB:64:13:5A
......

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 綠盟科技WEB應用防火墻產品白皮書下載
2. SQL注入及XSS攻擊防御技術白皮書下載
3. 拯救網站運維經理趙明有獎活動進行中
4. 以色列終極反入侵武器：CHECK POINT軟件刀片
5. Linux系統Iptables規則執行順序詳解
6. 如何用iptables實現NAT