NAT Port Forwarding (DHCP DSL)

Một phần của tài liệu iptables_tren_linux_final_1707 pdf (Trang 43 - 46)

12. Các tham số dòng lệnh thường gặp của Iptables

13.9 NAT Port Forwarding (DHCP DSL)

Trong nhiều trường hợp người dùng gia đình có thể có được một DHCP địa chỉ IP công cộng duy nhất từ ISP của họ. Nếu một bức tường lửa Linux cũng là giao diện của bạn với mạng Internet và bạn muốn lưu trữ một trang web vào một trong các máy chủ nhà bảo vệ NAT, sau đó bạn sẽ phải sử dụng cổng chuyển tiếp.Ở đây, sự kết hợp của địa chỉ IP duy nhất của tường lửa, địa chỉ IP của máy chủ từ xa, và nguồn / đích đến cảng giao thông có thể được sử dụng để nhận diện ra một luồng giao thông. Tất cả các giao thông phù hợp với một sự kết hợp đặc biệt của những yếu tố này sau đó có thể được chuyển tiếp đến một máy chủ duy nhất trên mạng riêng.

Port forwarding được xử lý bởi các chuỗi PREROUTING của bảng nat. Như trong giả mạo, các module iptables_nat đã được nạp và định tuyến đã được kích hoạt cho cổng chuyển tiếp để làm việc. Định tuyến cũng phải được cho phép trong iptables với chuỗi FORWARD, điều này bao gồm tất cả các kết nối gửi đến NEW từ Internet phù hợp với các cổng cảng chuyển tiếp cộng với tất cả các gói trong tương lai liên quan đến việc kết nối ESTABLISHED theo cả hai hướng:

#--- --- # Tải các module NAT

#

# Lưu ý: Cách tốt nhất là sử dụng / etc / rc.local trong ví dụ này # Chương. Giá trị này sẽ không được giữ lại trong

# / Etc / sysconfig / iptables file. Bao gồm chỉ như là một lời nhắc nhở. #--- ---

modprobe iptable_nat

#--- --- # Nhận địa chỉ IP của giao diện eth0 Internet (linux chỉ) #

# Bạn sẽ phải sử dụng một biểu thức khác nhau để có được địa chỉ IP # Cho các hệ thống điều hành khác đã có một đầu ra ifconfig khác nhau # Hoặc nhập địa chỉ IP bằng tay trong báo cáo kết PREROUTING #

# Đây là tường lửa của bạn tốt nhất khi được địa chỉ IP sử dụng DHCP. # Các địa chỉ IP bên ngoài chỉ có thể được cứng được mã hóa ("gõ vào # Bình thường ")

#--- --- external_int = "eth0"

external_ip = "` ifconfig $ external_int | grep "inet addr" | \ awk '{print $ 2}' | sed-e 's /.*://'`"

#

# Lưu ý: Cách tốt nhất là sử dụng / etc / sysctl.conf trong ví dụ này # Chương. Giá trị này sẽ không được giữ lại trong

# / Etc / sysconfig / iptables file. Bao gồm chỉ như là một lời nhắc nhở. #--- ---

echo 1> / proc/sys/net/ipv4/ip_forward

#--- ---

# Cho phép chuyển tiếp cổng để lưu lượng truy cập đích đến cổng 80 của # địa chỉ IP của tường lửa sẽ được chuyển tiếp đến cổng 8080 trên máy chủ # 192.168.1.200

#

# - Giao diện eth0 là giao diện internet # - Interface eth1 là giao diện mạng riêng

#--- --- iptables-t nat-A PREROUTING-p tcp-i eth0-d $ external_ip \

- Dport 80 - thể dục thể thao 1024:65535-j DNAT - to 192.168.1.200:8080 #--- ---

# Sau khi DNAT, các gói dữ liệu được chuyển qua bộ lọc của bảng # FORWARD chuỗi.

# Kết nối vào cổng 80 tới máy tính mục tiêu vào các tư nhân # Mạng phải được cho phép.

#--- --- iptables-A FORWARD-p tcp-i eth0-o eth1-d 192.168.1.200 \

- Dport 8080 - thể thao nhà nước 1024:65535-m - state NEW-j ACCEPT iptables-A FORWARD lọc-o eth0-t-m nhà nước \

- State NEW, ESTABLISHED, LIÊN QUAN-j ACCEPT iptables-A FORWARD lọc-t-i eth0-m nhà nước \

Một phần của tài liệu iptables_tren_linux_final_1707 pdf (Trang 43 - 46)

Tải bản đầy đủ (DOC)

(63 trang)
w