Konfigurieren Sie das NAT-Filterverhalten mit iptables

Question

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT

Was bewirken diese Regeln?

-A POSTROUTING -o eth1 -j MASQUERADEverbirgt Ihre internen IPs, wenn Pakete Ihr Netzwerk verlassen
-P FORWARD -j DROPlegt die Standardrichtlinie für Ihre FORWARD-Kette auf DROP fest
-A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPTermöglicht neue und bestehende weitergeleitete Verbindungen
-A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPTerlaubt nur etablierte weitergeleitete Verbindungen in

Die oben genannten Regeln gehen davon aus, dass Sie diese Box als Gateway/Firewall verwenden und eth1mit Ihrem WAN und eth0Ihrem LAN verbunden sind.

Zusätzliche Lektüre:Postrouting und IP-Masquerading

BEARBEITEN

So konfigurieren Sie eine „bedingte“ Portweiterleitung:

Nach Quellport

iptables -A PREROUTING -t nat -i eth1 -p tcp --sport [trusted_source_port] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

Nach Quell-IP

iptables -A PREROUTING -t nat -i eth1 -p tcp -s [trusted_source_ip] --dport [external_port] -j DNAT --to [internal_ip]:[internal_port]
iptables -A FORWARD -p tcp -d [internal_ip] --dport [internal_port] -j ACCEPT

Answer 1

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -P FORWARD -j DROP
iptables -A FORWARD -o eth1 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED -j ACCEPT