〖Linux〗iptables使用实例

1. 使局域网用户可共享外网（拨号上网）

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 

2. （SNAT）更改所有来自192.168.1.0/24的数据包的源ip地址为1.2.3.4：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 1.2.3.4

3. （DNAT）更改所有来自192.168.1.0/24的数据包的目的ip地址为1.2.3.4：

 iptables -t nat -A PREROUTING -s 192.168.1.0/24 -i eth1 -j DNAT --to 1.2.3.4

4. 使外网用户可以访问到局域网192.168.138.21这台HTTP服务

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.138.21
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

5. 使局域网用户,访问外网web服务时，自动使用squid作web透明代理服务器

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j DNAT --to 192.168.138.1
iptables -t nat -A PREROUTING -s 192.168.138.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE 

6. iptables安全策略， 网关服务器系统自生安全策略，只对内网用户开放22端口(sshd服务)

  #清空 filter table
  [root@localhost]# iptables -F -t filter
  [root@localhost]# iptables -X -t filter
  [root@localhost]# iptables -Z -t filter
  
  #清空 nat table
  [root@localhost]# iptables -F -t nat
  [root@localhost]# iptables -X -t nat
  [root@localhost]# iptables -Z -t nat
  
  #设置默认策略(INPUT链默认为DROP)
  [root@localhost]# iptables -t filter -P INPUT DROP
  [root@localhost]# iptables -t filter -P OUTPUT ACCEPT
  [root@localhost]# iptables -t filter -P FORWARD ACCEPT
  
  #回环接口(lo),默认accept
  [root@localhost]# iptables -A INPUT -p ALL -i lo -j ACCEPT
  
  #只对内网用户开放sshd服务
  [root@localhost]# iptables -A INPUT -p tcp -s 192.168.138.0/24 --dport 22 -j ACCEPT

参考来源：

[1] http://www.51know.info/system_security/iptable/iptable.html

[2] http://oa.jmu.edu.cn/netoa/libq/pubdisc.nsf/66175841be38919248256e35005f4497/7762e8e1056be98f48256e88001ef71d?OpenDocument