linux iptables 配置

RHEL4.6作为外网的Web服务器
IP为221.220.154.150/24
RHEL5.3作为网关，eth0连接外to网，eth1连接内网
eth0 221.220.154.149/24
eth1 192.168.1.5/24
# touch iptables_masquerade
# vim iptables_masquerade
#!/bin/bash
//设置Linux系统允许IP包的转发
echo 1 > /proc/sys/net/ipv4/ip_forward
//加载实现NAT功能所需的内核模块
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
//初始化filter表和nat表
iptables -F //清空规则表中所有规则链的规则
iptables -X //删除指定的规则链，-X通常与-F一同使用，目的是对防火墙初始化
iptables -Z //将链中拦截封包统计数量及总流量大小归零
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
//设置规则链的默认策略
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
//在本地回环和ping的规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
//在nat表的POSTROUTING规则链中添加IP伪装的规则
iptables -t nat -A POSTROUTING -s 192.168.1.1/32 -o eth0 -j MASQUERADE
//将访问80端口的主机目标地址转换为1.1.1.2
#iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to 1.1.1.2
//将192.168.0.0网段的来源地址转换为1.1.1.1
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to 1.1.1.1
:wq
# chmod 744 iptables_masquerade
# ./iptables_masquerade
在客户端是1.1时可以访问，修改为1.2时就不能访问