摘要：防火墻根據(jù)一組規(guī)則檢查這些頭，以確定接受哪個(gè)信息包以及拒絕哪個(gè)信息包。我們將該過程稱為信息包過濾。雖然信息包過濾系統(tǒng)被稱為單個(gè)實(shí)體，但它實(shí)際上由兩個(gè)組件和組成。處理出站信息包的規(guī)則被添加到鏈中。

本文部分內(nèi)容節(jié)選自：netfilter/iptables 簡介 - IBM developerWorks

Linux 因其健壯性、可靠性、靈活性以及好象無限范圍的可定制性而在 IT 業(yè)界變得非常受歡迎。Linux 具有許多內(nèi)置的能力， 使開發(fā)人員可以根據(jù)自己的需要定制其工具、行為和外觀，而無需昂貴的第三方工具。 如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務(wù)器或連接 LAN 和因特網(wǎng)的代理服務(wù)器， 所要用到的一種內(nèi)置能力就是針對網(wǎng)絡(luò)上 Linux 系統(tǒng)的防火墻配置。 可以在 netfilter/iptables IP 信息包過濾系統(tǒng)（它集成在 2.4.x 版本的 Linux 內(nèi)核中）的幫助下運(yùn)用這種能力。

在如 ipfwadm和 ipchains 這樣的 Linux 信息包過濾解決方案中，netfilter/iptables IP 信息包過濾系統(tǒng)是最新的解決方案， 而且也是第一個(gè)集成到 Linux 內(nèi)核的解決方案。 對于 Linux 系統(tǒng)管理員、網(wǎng)絡(luò)管理員以及家庭用戶（他們 想要根據(jù)自己特定的需求來配置防火墻、在防火墻解決方案上節(jié)省費(fèi)用和對 IP 信息包過濾具有完全控制權(quán)）來說，netfilter/iptables 系統(tǒng)十分理想。

對于連接到網(wǎng)絡(luò)上的 Linux 系統(tǒng)來說，防火墻是必不可少的防御機(jī)制， 它只允許合法的網(wǎng)絡(luò)流量進(jìn)出系統(tǒng)，而禁止其它任何網(wǎng)絡(luò)流量。為了確定網(wǎng)絡(luò)流量是否合法， 防火墻依靠它所包含的由網(wǎng)絡(luò)或系統(tǒng)管理員預(yù)定義的一組 規(guī)則。 這些規(guī)則告訴防火墻某個(gè)流量是否合法以及對于來自某個(gè)源、至某個(gè)目的地或具有某種協(xié)議類型的網(wǎng)絡(luò)流量要做些什么。 術(shù)語“配置防火墻”是指添加、修改和除去這些規(guī)則。稍后，我將詳細(xì)討論這些規(guī)則。

網(wǎng)絡(luò)流量由 IP 信息包（或，簡稱 信息包）— 以流的形式從源系統(tǒng)傳輸?shù)侥康牡叵到y(tǒng)的一些小塊數(shù)據(jù) — 組成。 這些信息包有頭，即在每個(gè)包前面所附帶的一些數(shù)據(jù)位，它們包含有關(guān)信息包的源、目的地和協(xié)議類型的信息。 防火墻根據(jù)一組規(guī)則檢查這些頭，以確定接受哪個(gè)信息包以及拒絕哪個(gè)信息包。我們將該過程稱為信息包過濾。

出于各種因素和原因，需要根據(jù)特定需求來配置防火墻。 或許，最重要的原因是安全性。

管理員可能想讓他們的防火墻能夠阻止未經(jīng)授權(quán)的源訪問其 Linux 系統(tǒng)，例如通過 Telnet。 他們可能還想限制進(jìn)出其系統(tǒng)的網(wǎng)絡(luò)流量，以便只有來自可信源的流量才可以進(jìn)入其系統(tǒng)，以及只有授權(quán)的流量才可以出去。 家庭用戶可能通過允許所有的出站信息包都可以通過，將防火墻配置成較低的安全性級別。

另一個(gè)背后的原因是，通過阻塞來自類似廣告站點(diǎn)之類的源的多余流量，可以節(jié)省帶寬。

因而，可以定制防火墻配置來滿足任何特定需求和任何安全性級別需求。 這就是 netfilter/iptables 系統(tǒng)的用武之處。

netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強(qiáng)大的工具， 可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時(shí)，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲在專用的信息包過濾表中， 而這些表集成在 Linux 內(nèi)核中。 在信息包過濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中。我馬上會詳細(xì)討論這些規(guī)則以及如何建立這些規(guī)則并將它們分組在鏈中。

雖然 netfilter/iptables IP 信息包過濾系統(tǒng)被稱為單個(gè)實(shí)體，但它實(shí)際上由兩個(gè)組件 netfilter和 iptables 組成。

netfilter 組件也稱為 內(nèi)核空間（kernelspace），是內(nèi)核的一部分，由一些信息包過濾表組成， 這些表包含內(nèi)核用來控制信息包過濾處理的規(guī)則集。

iptables 組件是一種工具，也稱為 用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規(guī)則變得容易。 除非您正在使用 Red Hat Linux 7.1 或更高版本，否則需要從 netfilter.org 下載該工具并安裝使用它。

通過使用用戶空間，可以構(gòu)建自己的定制規(guī)則，這些規(guī)則存儲在內(nèi)核空間的信息包過濾表中。 這些規(guī)則具有 目標(biāo)，它們告訴內(nèi)核對來自某些源、前往某些目的地或具有某些協(xié)議類型的信息包做些什么。 如果某個(gè)信息包與規(guī)則匹配，那么使用目標(biāo) ACCEPT 允許該信息包通過。還可以使用目標(biāo) DROP 或 REJECT 來阻塞并殺死信息包。對于可對信息包執(zhí)行的其它操作，還有許多其它目標(biāo)。

根據(jù)規(guī)則所處理的信息包的類型，可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加到 INPUT 鏈中。處理出站信息包的規(guī)則被添加到 OUTPUT 鏈中。處理正在轉(zhuǎn)發(fā)的信息包的規(guī)則被添加到 FORWARD 鏈中。這三個(gè)鏈?zhǔn)腔拘畔^濾表中內(nèi)置的缺省主鏈。 另外，還有其它許多可用的鏈的類型（如 PREROUTING 和 POSTROUTING ）， 以及提供用戶定義的鏈。每個(gè)鏈都可以有一個(gè)策略， 它定義“缺省目標(biāo)”，也就是要執(zhí)行的缺省操作，當(dāng)信息包與鏈中的任何規(guī)則都不匹配時(shí)，執(zhí)行此操作。

建立規(guī)則并將鏈放在適當(dāng)?shù)奈恢弥螅涂梢蚤_始進(jìn)行真正的信息包過濾工作了。 這時(shí)內(nèi)核空間從用戶空間接管工作。當(dāng)信息包到達(dá)防火墻時(shí)，內(nèi)核先檢查信息包的頭信息，尤其是信息包的目的地。 我們將這個(gè)過程稱為 路由。

如果信息包源自外界并前往系統(tǒng)，而且防火墻是打開的，那么內(nèi)核將它傳遞到內(nèi)核空間信息包過濾表的 INPUT 鏈。如果信息包源自系統(tǒng)內(nèi)部或系統(tǒng)所連接的內(nèi)部網(wǎng)上的其它源，并且此信息包要前往另一個(gè)外部系統(tǒng)， 那么信息包被傳遞到 OUTPUT 鏈。類似的，源自外部系統(tǒng)并前往外部系統(tǒng)的信息包被傳遞到 FORWARD 鏈。

接下來，將信息包的頭信息與它所傳遞到的鏈中的每條規(guī)則進(jìn)行比較，看它是否與某條規(guī)則完全匹配。 如果信息包與某條規(guī)則匹配，那么內(nèi)核就對該信息包執(zhí)行由該規(guī)則的目標(biāo)指定的操作。 但是，如果信息包與這條規(guī)則不匹配，那么它將與鏈中的下一條規(guī)則進(jìn)行比較。 最后，如果信息包與鏈中的任何規(guī)則都不匹配，那么內(nèi)核將參考該鏈的策略來決定如何處理該信息包。 理想的策略應(yīng)該告訴內(nèi)核 DROP 該信息包。

通過向防火墻提供有關(guān)對來自某個(gè)源、到某個(gè)目的地或具有特定協(xié)議類型的信息包要做些什么的指令，規(guī)則控制信息包的過濾。 通過使用 netfilter/iptables 系統(tǒng)提供的特殊命令 iptables ，建立這些規(guī)則，并將其添加到內(nèi)核空間的特定信息包過濾表內(nèi)的鏈中。關(guān)于添加／除去／編輯規(guī)則的命令的一般語法如下：

iptables [-t table] command [match] [target]

[-t table] 選項(xiàng)允許使用標(biāo)準(zhǔn)表之外的任何表。表是包含僅處理特定類型信息包的規(guī)則和鏈的信息包過濾表。 有三種可用的表選項(xiàng)： filter 、 nat 和 mangle 。該選項(xiàng)不是必需的，如果未指定， 則 filter 用作缺省表。

filter 表用于一般的信息包過濾，它包含 INPUT 、 OUTPUT 和 FORWARD 鏈。nat 表用于要轉(zhuǎn)發(fā)的信息包，它包含 PREROUTING 、 OUTPUT 和 POSTROUTING 鏈。 如果信息包及其頭內(nèi)進(jìn)行了任何更改，則使用 mangle 表。 該表包含一些規(guī)則來標(biāo)記用于高級路由的信息包，該表包含 PREROUTING 和 OUTPUT 鏈。

注：PREROUTING 鏈由指定信息包一到達(dá)防火墻就改變它們的規(guī)則所組成，而 POSTROUTING 鏈由指定正當(dāng)信息包打算離開防火墻時(shí)改變它們的規(guī)則所組成。

上面這條命令中具有強(qiáng)制性的 command 部分是 iptables 命令的最重要部分。 它告訴 iptables 命令要做什么，例如，插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。 以下是最常用的一些命令：

-A 或 --append ： 該命令將一條規(guī)則附加到鏈的末尾。

示例：

iptables -A INPUT -s 205.168.0.1 -j ACCEPT

該示例命令將一條規(guī)則附加到 INPUT 鏈的末尾，確定來自源地址 205.168.0.1 的信息包可以 ACCEPT 。

-D 或 --delete ： 通過用 -D 指定要匹配的規(guī)則或者指定規(guī)則在鏈中的位置編號，該命令從鏈中刪除該規(guī)則。 下面的示例顯示了這兩種方法。

示例：

iptables -D INPUT --dport 80 -j DROP 
iptables -D OUTPUT 3

第一條命令從 INPUT 鏈刪除規(guī)則，它指定 DROP 前往端口 80 的信息包。第二條命令只是從 OUTPUT 鏈刪除編號為 3 的規(guī)則。

-P 或 --policy ： 該命令設(shè)置鏈的缺省目標(biāo)，即策略。 所有與鏈中任何規(guī)則都不匹配的信息包都將被強(qiáng)制使用此鏈的策略。

示例：

iptables -P INPUT DROP

該命令將 INPUT 鏈的缺省目標(biāo)指定為 DROP 。這意味著，將丟棄所有與 INPUT 鏈中任何規(guī)則都不匹配的信息包。

-N 或 --new-chain ： 用命令中所指定的名稱創(chuàng)建一個(gè)新鏈。

示例：

iptables -N allowed-chain

-F 或 --flush ： 如果指定鏈名，該命令刪除鏈中的所有規(guī)則， 如果未指定鏈名，該命令刪除所有鏈中的所有規(guī)則。此參數(shù)用于快速清除。

示例：

iptables -F FORWARD 
iptables -F

-X 或 --delete-chain ： 如果指定鏈名，該命令刪除這條自定義的鏈， 如果未指定鏈名，該命令刪除所有自定義的鏈。此參數(shù)用于快速清除所有自定義的鏈，當(dāng)然，默認(rèn)的鏈無法刪除。

示例：

iptables -X MY_OWN_INPUT 
iptables -X

-L 或 --list ： 列出指定鏈中的所有規(guī)則。

示例：

iptables -L allowed-chain

iptables 命令的可選 match 部分指定信息包與規(guī)則匹配所應(yīng)具有的特征（如源和目的地地址、協(xié)議等）。 匹配分為兩大類： 通用匹配和特定于協(xié)議的匹配。這里，我將研究可用于采用任何協(xié)議的信息包的通用匹配。 下面是一些重要的且常用的通用匹配及其示例和說明：

-p 或 --protocol ： 該通用協(xié)議匹配用于檢查某些特定協(xié)議。 協(xié)議示例有 TCP 、 UDP 、 ICMP 、用逗號分隔的任何這三種協(xié)議的組合列表以及 ALL （用于所有協(xié)議）。 ALL 是缺省匹配。可以使用 ! 符號，它表示不與該項(xiàng)匹配。

示例：

iptables -A INPUT -p TCP, UDP 
iptables -A INPUT -p ! ICMP

在上述示例中，這兩條命令都執(zhí)行同一任務(wù) — 它們指定所有 TCP 和 UDP 信息包都將與該規(guī)則匹配。 通過指定 ! ICMP ，我們打算允許所有其它協(xié)議（在這種情況下是 TCP 和 UDP ）， 而將 ICMP 排除在外。

-s 或 --source ： 該源匹配用于根據(jù)信息包的源 IP 地址來與它們匹配。該匹配還允許對某一范圍內(nèi)的 IP 地址進(jìn)行匹配，可以使用 ! 符號，表示不與該項(xiàng)匹配。缺省源匹配與所有 IP 地址匹配。

示例：

iptables -A OUTPUT -s 192.168.1.1 
iptables -A OUTPUT -s 192.168.0.0/24 
iptables -A OUTPUT -s ! 203.16.1.89

第二條命令指定該規(guī)則與所有來自 192.168.0.0 到 192.168.0.24 的 IP 地址范圍的信息包匹配。第三條命令指定該規(guī)則將與 除來自源地址 203.16.1.89 外的任何信息包匹配。

-d 或 --destination ： 該目的地匹配用于根據(jù)信息包的目的地 IP 地址來與它們匹配。 該匹配還允許對某一范圍內(nèi) IP 地址進(jìn)行匹配，可以使用 ! 符號，表示不與該項(xiàng)匹配。

示例：

iptables -A INPUT -d 192.168.1.1 
iptables -A INPUT -d 192.168.0.0/24 
iptables -A OUTPUT -d ! 203.16.1.89

我們已經(jīng)知道，目標(biāo)是由規(guī)則指定的操作，對與那些規(guī)則匹配的信息包執(zhí)行這些操作。 除了允許用戶定義的目標(biāo)之外，還有許多可用的目標(biāo)選項(xiàng)。下面是常用的一些目標(biāo)及其示例和說明：

ACCEPT ： 當(dāng)信息包與具有 ACCEPT 目標(biāo)的規(guī)則完全匹配時(shí)， 會被接受（允許它前往目的地），并且它將停止遍歷鏈（雖然該信息包可能遍歷另一個(gè)表中的其它鏈，并且有可能在那里被丟棄）。 該目標(biāo)被指定為 -j ACCEPT 。

DROP ： 當(dāng)信息包與具有 DROP 目標(biāo)的規(guī)則完全匹配時(shí)，會阻塞該信息包，并且不對它做進(jìn)一步處理。 該目標(biāo)被指定為 -j DROP 。

REJECT ： 該目標(biāo)的工作方式與 DROP 目標(biāo)相同，但它比 DROP 好。和 DROP 不同， REJECT 不會在服務(wù)器和客戶機(jī)上留下死套接字。 另外， REJECT 將錯(cuò)誤消息發(fā)回給信息包的發(fā)送方。該目標(biāo)被指定為 -j REJECT 。

示例：

iptables -A FORWARD -p TCP --dport 22 -j REJECT

RETURN ： 在規(guī)則中設(shè)置的 RETURN 目標(biāo)讓與該規(guī)則匹配的信息包停止遍歷包含該規(guī)則的鏈。 如果鏈?zhǔn)侨?INPUT 之類的主鏈，則使用該鏈的缺省策略處理信息包。 它被指定為 -jump RETURN 。示例：

iptables -A FORWARD -d 203.16.1.89 -jump RETURN

還有許多用于建立高級規(guī)則的其它目標(biāo)，如 LOG 、 REDIRECT 、 MARK 、 MIRROR 和 MASQUERADE 等。

現(xiàn)在，您已經(jīng)學(xué)習(xí)了如何建立基本的規(guī)則和鏈以及如何從信息包過濾表中添加或刪除它們。 但是，您應(yīng)該記住：用上述方法所建立的規(guī)則會被保存到內(nèi)核中，當(dāng)重新引導(dǎo)系統(tǒng)時(shí)，會丟失這些規(guī)則。 所以，如果您將沒有錯(cuò)誤的且有效的規(guī)則集添加到信息包過濾表，同時(shí)希望在重新引導(dǎo)之后再次使用這些規(guī)則， 那么必須將該規(guī)則集保存在文件中。可以使用 iptables-save命令來做到這一點(diǎn)：

iptables-save > iptables-script

現(xiàn)在，信息包過濾表中的所有規(guī)則都被保存在文件 iptables-script 中。無論何時(shí)再次引導(dǎo)系統(tǒng)， 都可以使用 iptables-restore 命令將規(guī)則集從該腳本文件恢復(fù)到信息包過濾表，如下所示：

iptables-restore iptables-script

如果您愿意在每次引導(dǎo)系統(tǒng)時(shí)自動恢復(fù)該規(guī)則集，則可以將上面指定的這條命令放到任何一個(gè)初始化 shell 腳本中。

在FTP服務(wù)中，有主動方式和被動方式之分。其中主動模式比較簡單，在主動方式中，F(xiàn)TP使用21和20端口，其中21端口用于傳輸控制指令，而20端口用于傳輸數(shù)據(jù)，主動方式所有報(bào)文都需要在20端口排隊(duì)發(fā)送或者接收，這樣就限制了服務(wù)器的并發(fā)性能；而被動方式中，F(xiàn)TP服務(wù)器會通過PASV命令通告客戶端開放的端口（一般是一個(gè)大端口號），然后客戶端就來連接。

這樣一來就出現(xiàn)了一個(gè)問題，因?yàn)橐话闱闆r下iptables是針對端口進(jìn)行的防火墻包過濾。如果想使用FTP的被動方式，服務(wù)器就需要開放所有1024以上端口，否則客戶端的連接會被DROP掉，這樣就會變得不安全。但是如果不使用被動方式的話，主動方式的傳輸速率實(shí)在是太慢了。這類問題是iptables包過濾無法解決的問題。

舉個(gè)例子，我們首先將iptables在INPUT鏈和OUTPUT鏈的默認(rèn)策略都設(shè)置為DROP：

iptables -P INPUT DROP
iptables -P OUTPUT DROP

然后我們開放FTP服務(wù)器的21和20端口：

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

這樣一來，就可以使用FTP的主動方式來傳輸數(shù)據(jù)，我們使用FileZilla來連接這個(gè)FTP服務(wù)器（位于10.128.0.1）：

狀態(tài):     正在連接 10.128.0.1:21...
狀態(tài):     連接建立，等待歡迎消息...
狀態(tài):     不安全的服務(wù)器，不支持 FTP over TLS。
狀態(tài):     服務(wù)器不支持非 ASCII 字符。
狀態(tài):     已登錄
狀態(tài):     開始上傳 /Users/xiaolulwr/Documents/CAUC-Tec-Markdown/Linux/深入理解iptables防火墻.md
狀態(tài):     文件傳輸成功，傳輸了 16,532 字節(jié) (用時(shí)1 秒)
狀態(tài):     讀取“/root”的目錄列表...
狀態(tài):     計(jì)算服務(wù)器時(shí)差...
狀態(tài):     列出“/root”的目錄成功

但是一旦我們切換到被動方式，就無法進(jìn)行數(shù)據(jù)傳輸：

狀態(tài):     正在連接 10.128.0.1:21...
狀態(tài):     連接建立，等待歡迎消息...
狀態(tài):     不安全的服務(wù)器，不支持 FTP over TLS。
狀態(tài):     服務(wù)器不支持非 ASCII 字符。
狀態(tài):     已登錄
狀態(tài):     讀取目錄列表...
命令:     PWD
響應(yīng):     257 "/root"
命令:     TYPE I
響應(yīng):     200 Switching to Binary mode.
命令:     PASV
響應(yīng):     227 Entering Passive Mode (10,128,0,1,230,163)
命令:     LIST
錯(cuò)誤:     目錄列表被用戶終止

當(dāng)我們使用PASV嘗試切換到被動模式之后，切換是可以成功的，但是切換之后再進(jìn)行操作就無法成功了，原因也很好理解，因?yàn)槌岁P(guān)于20和21端口之外的報(bào)文都被DROP了。

為了解決上面的情況，解決方式就是使用iptables的狀態(tài)檢查功能。

狀態(tài)檢查功能，是指iptables除了可以按照IP地址、端口號、協(xié)議類型等條件對報(bào)文進(jìn)行過濾之外，還具有一定的對報(bào)文的傳輸狀態(tài)進(jìn)行檢查的功能，也就是說，iptables可以識別哪些報(bào)文屬于新產(chǎn)生的連接，哪些報(bào)文屬于伴隨連接。在FTP的被動模式中，PASV協(xié)商之后，F(xiàn)TP服務(wù)器將通過一個(gè)大的隨機(jī)端口和客戶端通信，這些報(bào)文就是FTP控制連接的伴隨連接的報(bào)文。這些報(bào)文不是平白無故產(chǎn)生的，如果沒有之前的FTP控制連接，就不會產(chǎn)生這些連接和報(bào)文。如果黑客想直接連接到大的端口上的話，這些連接就屬于新連接。這樣一來，就不必開放所有大于1024的端口，同時(shí)也可以允許FTP的被動方式了。

我們在上述配置規(guī)則之外，再配置下面的規(guī)則：

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

上面規(guī)則的意思是，在iptables的INPUT和OUTPUT鏈上，允許ESTABLISHED和RELATED狀態(tài)的TCP報(bào)文，那么何為連接狀態(tài)呢？下面介紹四種連接的狀態(tài)：

ESTABLISHED：第一個(gè)成功穿越防火墻的報(bào)文之后所有的報(bào)文；

NEW：一個(gè)連接的第一個(gè)報(bào)文，例如TCP連接中的SYN報(bào)文；

RELATED：伴隨連接的報(bào)文，即某個(gè)已經(jīng)處于ESTABLISHED的連接所產(chǎn)生的報(bào)文，這些報(bào)文不屬于第一條連接，但是的確是由第一條連接產(chǎn)生的；

INVALID：無法判斷狀態(tài)的報(bào)文。

當(dāng)然值得注意的是，iptables的這種狀態(tài)檢查不是十分智能的，它只能識別到運(yùn)輸層的伴隨連接，也就是說，對于FTP的協(xié)議伴隨連接，這種方式并不能很好的進(jìn)行檢查。

在配置之后，就可以正常使用被動方式了：

狀態(tài):     正在連接 10.128.0.1:21...
狀態(tài):     連接建立，等待歡迎消息...
狀態(tài):     不安全的服務(wù)器，不支持 FTP over TLS。
狀態(tài):     服務(wù)器不支持非 ASCII 字符。
狀態(tài):     已登錄
狀態(tài):     開始上傳 /Users/xiaolulwr/Documents/CAUC-Personal/個(gè)人博客/ssl.txt
狀態(tài):     文件傳輸成功，傳輸了 3,550 字節(jié) (用時(shí)1 秒)
狀態(tài):     讀取“/root”的目錄列表...
狀態(tài):     列出“/root”的目錄成功
狀態(tài):     開始下載 /root/ssl.txt
狀態(tài):     文件傳輸成功，傳輸了 3,550 字節(jié) (用時(shí)1 秒)
狀態(tài):     已從服務(wù)器斷開

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）可以解決IPv4地址不足的問題，使用NAT之后，局域網(wǎng)可以對廣域網(wǎng)隱藏內(nèi)部的細(xì)節(jié)，讓整個(gè)局域網(wǎng)在廣域網(wǎng)上只表現(xiàn)為一個(gè)IP地址，這項(xiàng)技術(shù)廣泛應(yīng)用于企業(yè)網(wǎng)絡(luò)、校園網(wǎng)絡(luò)以及運(yùn)營商的網(wǎng)絡(luò)，因?yàn)椴⒉皇撬杏脩舳夹枰粋€(gè)廣域網(wǎng)的地址，他們只需要一個(gè)私有網(wǎng)絡(luò)的地址就可以了，雖然這個(gè)地址不能直接在廣域網(wǎng)上使用，但是通過啟用了NAT的路由器，這些擁有私有網(wǎng)絡(luò)地址的設(shè)備也可以訪問廣域網(wǎng)上的資源。當(dāng)然，隨著IPv6的普及，NAT的使用將會逐漸減少。

iptables也支持NAT功能，如前所述，iptable上中包含一個(gè)NAT表，其中有兩條缺省的鏈，也就是PREROUTING 和 POSTROUTING 鏈，在這兩條鏈上配置規(guī)則可以實(shí)現(xiàn)NAT功能。

在配置NAT之前，首先回顧一下NAT的兩種形式：

源地址轉(zhuǎn)換（SNAT）：適用于由局域網(wǎng)中的主機(jī)發(fā)起連接的情況。報(bào)文在經(jīng)過NAT路由器時(shí)，將IP報(bào)文中的源IP地址轉(zhuǎn)換為一個(gè)有效的廣域網(wǎng)地址；在服務(wù)器給一個(gè)在私有網(wǎng)絡(luò)中的主機(jī)返回響應(yīng)報(bào)文時(shí)，目的IP地址就是這個(gè)局域網(wǎng)對外的廣域網(wǎng)地址。報(bào)文到達(dá)NAT路由器的時(shí)候，路由器要將該報(bào)文分發(fā)給對應(yīng)的主機(jī)，將IP報(bào)文的目的IP地址轉(zhuǎn)換為私有網(wǎng)絡(luò)地址；

目的地址轉(zhuǎn)換（DNAT）：又稱為“端口轉(zhuǎn)發(fā)”，適用于由廣域網(wǎng)上的主機(jī)發(fā)起連接的情況。當(dāng)廣域網(wǎng)的主機(jī)訪問NAT路由器的廣域網(wǎng)端口時(shí)，可以將NAT路由器的廣域網(wǎng)的端口映射到局域網(wǎng)內(nèi)的某個(gè)IP地址的某個(gè)端口，這樣就可以實(shí)現(xiàn)廣域網(wǎng)主機(jī)訪問局域網(wǎng)內(nèi)的資源。

這里需要注意一點(diǎn)就是，SNAT和DNAT的“源”和“目的”指的并不是“源地址轉(zhuǎn)換”和“目的地址轉(zhuǎn)換”，而是指的發(fā)起連接的過程中的那個(gè)轉(zhuǎn)換，只考慮了請求包。其實(shí)可以簡單的理解為SNAT就是局域網(wǎng)主機(jī)發(fā)起連接，DNAT就是廣域網(wǎng)主機(jī)發(fā)起連接，要知道任何一個(gè)連接都是雙向傳輸數(shù)據(jù)，所以在配置防火墻的時(shí)候要特別注意這一點(diǎn)。

在iptables上配置NAT時(shí)，也可以配置SNAT和DNAT，我們的實(shí)驗(yàn)環(huán)境有三臺主機(jī)，它們的基本網(wǎng)絡(luò)情況如下（注意；這里的172.20.10.0網(wǎng)絡(luò)仍然是局域網(wǎng)，只是模擬了廣域網(wǎng)而已）：

主機(jī)（作為廣域網(wǎng)服務(wù)器）
接口名稱：wlan
IP地址：172.20.10.4
子網(wǎng)掩碼：255.255.255.240
默認(rèn)網(wǎng)關(guān)：172.20.10.1


虛擬機(jī)A（作為NAT路由器）
接口名稱：ens39（廣域網(wǎng)接口）
IP地址：172.20.10.3
子網(wǎng)掩碼：255.255.255.240
默認(rèn)網(wǎng)關(guān)：172.20.10.1

接口名稱：ens38（局域網(wǎng)接口）
IP地址：192.168.1.1
子網(wǎng)掩碼：255.255.255.0
配置：
ifconfig ens38 192.168.1.1 netmask 255.255.255.0


虛擬機(jī)B（作為局域網(wǎng)主機(jī)）
接口名稱：eth1
IP地址：192.168.1.100
子網(wǎng)掩碼：255.255.255.0
默認(rèn)網(wǎng)關(guān)：192.168.1.1
配置：
ifconfig eth1 192.168.1.100 netmask 255.255.255.0
route add default gw 192.168.1.1

首先啟用虛擬機(jī)A的路由轉(zhuǎn)發(fā)功能，編輯/etc/sysctl.conf文件

vi /etc/sysctl.conf

新增下面的條目：

net.ipv4.ip_forward=1

使上面的更改立即生效

sysctl -p

現(xiàn)在我們在虛擬機(jī)A中配置iptables的NAT表，使虛擬機(jī)B可以通過虛擬機(jī)A連接到主機(jī)的網(wǎng)絡(luò)。

# 適用于廣域網(wǎng)為固定IP地址的情況，本例是這種情況
iptables -t nat -A POSTROUTING -o ens38 -s 192.168.1.0/24 -j SNAT --to-source 172.20.10.3
# 適用于廣域網(wǎng)為動態(tài)分配IP地址的情況，典型例子是PPPoE
iptables -t nat -A POSTROUTING –o ens38 –s 192.168.1.0/24 –j MASQUERADE

命令的含義就是在路由操作之后，將從ens38接口上的192.168.1.0/24網(wǎng)絡(luò)上的報(bào)文的源IP地址，轉(zhuǎn)換為廣域網(wǎng)地址172.20.10.3（或者通過PPPoE得到的動態(tài)廣域網(wǎng)地址）并發(fā)送出去。這樣一來，在局域網(wǎng)中的虛擬機(jī)2就可以訪問廣域網(wǎng)上的的資源了。