- State NEW,ESTABLISHED, LIÊN QUANo eth0p tcp \ M multiport dports 80.443 thể thao 1024:6
13.8 Giả mạo (Nhiều NAT)
Bạn có thể cấu hình nhiều cho một NAT cho một IP, sử dụng POSTROUTING và không báo cáo Masquerade. Một ví dụ về điều này có thể được nhìn thấy trong phần NAT tĩnh sau.
Hãy nhớ rằng iptables yêu cầu các module iptables_nat được nạp với lệnh modprobe cho tính năng mạo để làm việc. Giả mạo cũng phụ thuộc vào hệ điều hành Linux đang được cấu hình để hỗ trợ định tuyến giữa internet và các giao diện mạng riêng của tường lửa. Điều này được thực hiện bằng cách cho phép chuyển tiếp IP hoặc định tuyến bằng cách cho tập tin / proc/sys/net/ipv4/ip_forward giá trị 1 như trái ngược với các giá trị mặc định vô hiệu hóa bằng 0.
bảng nat, bạn sẽ phải cấu hình iptables để cho phép các gói tin đến dòng chảy giữa hai giao diện. Để làm điều này, hãy sử dụng chuỗi FORWARD của bảng lọc. Cụ thể hơn, các gói liên quan đến kết nối NEW và ESTABLISHED sẽ được phép đi vào Internet, nhưng chỉ gói tin liên quan đến các kết nối ESTABLISHED sẽ được phép vào. Điều này giúp bảo vệ mạng gia đình từ bất cứ ai cố gắng để bắt đầu kết nối từ Internet:
#--- --- ---
# Tải các module NAT #
# Lưu ý: Cách tốt nhất là sử dụng / etc / rc.local trong ví dụ này
# Chương. Giá trị này sẽ không được giữ lại trong
# / Etc / sysconfig / iptables file. Bao gồm chỉ như là một lời nhắc nhở. #--- --- modprobe iptable_nat #--- ---
# Kích hoạt tính năng định tuyến bằng cách sửa đổi file / hệ thống tập tin proc ip_forward
#
# Lưu ý: Cách tốt nhất là sử dụng / etc / sysctl.conf trong ví dụ này
# Chương. Giá trị này sẽ không được giữ lại trong
# / Etc / sysconfig / iptables file. Bao gồm chỉ như là một lời nhắc nhở. #--- --- echo 1> / proc/sys/net/ipv4/ip_forward #--- ---
# Cho phép giả mạo
# - Giao diện eth0 là giao diện internet # - Interface eth1 là giao diện mạng riêng
#--- --- ---
iptables-A POSTROUTING-t nat-o eth0-s 192.168.1.0/24-d 0 / 0 \
#--- --- ---
# Trước khi giả mạo, các gói dữ liệu được chuyển qua bộ lọc # Chuỗi FORWARD của bảng.
# Cho phép đi ra: mới, các kết nối được thành lập và có liên quan
# Cho phép gửi đến: kết nối thành lập và có liên quan #--- ---
iptables-A FORWARD lọc-o eth0-t-m nhà nước \