iptables+nat

client: 192.168.2.101

        255.255.255.0

        192.168.2.100

Firewall:

        eth0 202.101.0.100 255.255.255.0 202.101.0.1

        eth1 192.168.2.100 255.255.255.0

echo 1 > /proc/sys/net/ipv4/ip_forward          #要使重启有效还得修改/etc/sysctl.conf文件，将其中的“net.ipv4.ip_forward = 0”中的“0”改为“1”。

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i eth1 -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP

#以下两规则令防火墙/网关之后的系统能够进入内部网络。网关把 LAN 节点的分组选路发送到它的目的地，通过 eth1 设备传递所有分组。
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT

 

#以下规则设置路由转发
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 202.101.0.100

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 3128

 

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 202.101.0.100:80              #该规则指定 NAT 表使用内建的 PREROUTING 链来仅把进入的 HTTP 请求转发到被列出的 IP 地址 202.101.0.100
iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT                                    #如果你的 FORWARD 链的默认政策是 DROP，你就必须后补一条规则来允许转发进入的 HTTP 请求,该规则允许把进入的 HTTP 请求从防火墙转发到防火墙之后的 Apache HTTP 服务器服务器。

本文出自 “技术成就梦想” 博客，谢绝转载！