iptable-使用实例.doc

iptable 使用实例-首先让我们看一下服务器/客户机的交互原理。服务器提供某特定功能的服务总是由特定的后台程序提供的。在TCP/IP网络中，常常把这个特定的服务绑定到特定的TCP或UDP端口。之后，该后台程序就不断地监听（listen)该端口，一旦接收到符合条件的客户端请求，该服务进行TCP握手后就同客户端建立一个连接，响应客户请求。与此同时，再产生一个该绑定的拷贝，继续监听客户端的请求。 举一个具体的例子：假设网络中有一台服务器A(IP地址为)提供WWW服务，另有客户机B()、C()。首先，服务器A运行提供WWW服务的后台程序（比如Apache）并且把该服务绑定到端口80，也就是说，在端口80进行监听。当B发起一个连接请求时,B将打开一个大于1024的连接端口(1024内为已定义端口),假设为1037。A在接收到请求后，用80端口与B建立连接以响应B的请求，同时产生一个80端口绑定的拷贝，继续监听客户端的请求。假如A又接收到C的连接请求（设连接请求端口为1071），则A在与C建立连接的同时又产生一个80端口绑定的拷贝继续监听客户端的请求。如下所示，因为系统是以源地址、源端口、目的地址、目的端口来标识一个连接的，所以在这里每个连接都是唯一的。 服务器 客户端 连接1：a.b.c.1:80 ; a.b.c.4:1037 连接2：a.b.c.1:80 ; a.b.c.7:1071 每一种特定的服务都有自己特定的端口，一般说来小于1024的端口多为保留端口，或者说是已定义端口，低端口分配给众所周知的服务（如WWW、FTP等等），从512到1024的端口通常保留给特殊的UNIX TCP/IP应用程序，具体情况请参考/etc/services文件或RFC1700。 假设网络环境如下：某一单位，租用DDN专线上网，网络拓扑如下： +-+ | 内部网段 | eth1+-+eth0 DDN | +-|firewall|;Internet | | +-+ +-+ eth0: 54 eth1: 54 以上的IP地址都是Internet上真实的IP，故没有用到IP欺骗。并且，我们假设在内部网中存在以下服务器： www服务器： 1 ftp服务器： 2 email服务器： 3 下面我们将用iptables一步一步地来建立我们的包过滤防火墙，需要说明的是，在这个例子中，我们主要是对内部的各种服务器提供保护。 1. 在/etc/rc.d/目录下用touch命令建立firewall文件，执行chmod u+x firewll以更改文件属性 ，编辑/etc/rc.d/rc.local文件，在末尾加上 /etc/rc.d/firewall 以确保开机时能自动执行该脚本。 2. 刷新所有的链的规则 #!/bin/sh echo Starting iptables rules. #Refresh all chains /sbin/iptables -F 3. 我们将首先禁止转发任何包，然后再一步步设置允许通过的包。 所以首先设置防火墙FORWARD链的策略为DROP： /sbin/iptables -P FORWARD DROP 4.设置关于服务器的包过虑规则： 在这里需要注意的是，服务器/客户机交互是有来有往的，也就是说是双向的，所以我们不仅仅要设置数据包出去的规则，还要设置数据包返回的规则，我们先建立针对来自Internet数据包的过虑规则。 WWW服务：服务端口为80，采用tcp或udp协议。规则为：eth0=;允许目的为内部网WWW服务器的包。 #Define HTTP packets# #Allow www request packets from Internet clients to www servers /sbin/iptables -A FORWARD -p tcp -d 1 -dport www -i eth0 -j ACCEPT FTP服务：FTP服务有点特别，因为需要两个端口，因为FTP有命令通道和数据通道。其中命令端口为21，数据端口为20，并且有主动和消极两种服务模式，其消极模式连接过程为：FTP客户端首先向FTP服务器发起连接请求，三步握手后建立命令通道，然后由FTP服务器请求建立数据通道，成功后开始传输数据，现在大多数FTP客户端均支持消极模式，因为这种模式可以提高安全性。FTP服务采用tcp协议。规则为：eth0=;仅允许目的为内部网ftp服务器的包。 #Define FTP packets# #Allow ftp request packets from Internet clients to Intranet ftp server /sbin/iptables -A FORWARD -p tcp -d 2 -dport ftp -i eth0 -j ACCEPT EMAIL服务：包含两个协议，一是smtp，一是pop3。出于安全性考虑，通常只提供对内的pop3服务，所以在这里我们只考虑针对smtp的安全性问题。smtp端口为21，采用tcp协议。eth0=;仅允许目的为email服务器的smtp请求。 #Define smtp packets# /sbin/iptables -A FORWARD -p tcp -d 3 -dport smtp -i eth0 -j ACCEPT 5. 设置针对Intranet客户的过虑规则： 在本例中我们的防火墙位于网关的位置，所以我们主要是防止来自Internet的攻击，不能防止来自Intranet的攻击。假如我们的服务器都是基于linux的，也可以在每一部服务器上设置相关的过虑规则来防止来自Intranet的攻击。对于Internet对Intranet客户的返回包，我们定义如下规则。 #Define packets from Internet server to Intranet# /sbin/iptables -A FORWARD -p tcp -s 0/0 -sport ftp-data -d /24 -i eth0 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -d /24 ! -syn -i eth0 -j ACCEPT /sbin/iptables -A FORWARD -p udp -d /24 -i eth0 -j ACCEPT 说明：第一条允许Intranet客户采用消极模式访问Internet的FTP服务器；第二条接收来自Internet的非连接请求tcp包；最后一条接收所有udp包，主要是针对oicq等使用udp的服务。 6. 接受来自整个Intranet的数据包过虑，我们定义如下规则： #Define packets from Internet server to Intranet server# /sbin/iptables -A FORWARD -s /24 -i eth1 -j ACCEPT 7. 处理ip碎片 我们接受所有的ip碎片，但采用limit匹配扩展对其单位时间可以通过的ip碎片数量进行限制，以防止ip碎片攻击。 #Define fregment rule# /sbin/iptables -A FORWARD -f -m limit -limit 100/s -limit-burst 100 -j ACCEPT 说明：对不管来自哪里的ip碎片都进行限制，允许每秒通过100个ip碎片，该限制触发的条件是100个ip碎片。 8. 设置icmp包过滤 icmp包通常用于网络测试等，故允许所有的icmp包通过。但是黑客常常采用icmp进行攻击，如ping of death等，所以我们采用limit匹配扩展加以限制： #Define icmp rule# /sbin/iptables -A FORWARD -p icmp -m limit -limit 1/s -limit-burst 10 -j ACCEPT 说明：对不管来自哪里的icmp包都进行限制，允许每秒通过一个包，该限制触发的条件是10个包。 通过以上个步骤，我们建立了一个相对完整的防火墙。只对外开放了有限的几个端口，同时提供了客户对Internet的无缝访问，并且对ip碎片攻击和icmp的ping of death提供了有效的防护手段。以下是完整的脚本文件内容，希望通过这个实例能是对iptables的用法有所了解： #!/bin/sh echo Starting iptables rules. #Refresh all chains /sbin/iptables -F #Define HTTP packets# #Allow www request packets from Internet clients to www servers /sbin/iptables -A FORWARD -p tcp -d 1 -dport www -i eth0 -j ACCEPT #Define FTP packets# #Allow ftp request packets from Internet clients to Intranet ftp server /sbin/iptables -A FORWARD -p tcp -d 2 -dport ftp -i eth0 -j ACCEPT #Define smtp packets# /sbin/iptables -A FORWARD -p tcp -d 3 -dport smtp -i eth0 -j ACCEPT #Define packets from Internet server to Intranet# /sbin/iptables -A FORWARD -p tcp -s 0/0 -sport ftp-data -d /24 -i eth0 -j ACCEPT /sbin/iptables -A FORWARD -p tcp -d /24 ! -syn -i eth0 -j ACCEPT /sbin/iptables -A FORWARD -p udp -d /24 -i eth0 -j ACCEPT #Define packets from Intranet to Internet# /sbin/iptables -A FORWARD -s /24 -i eth1 -j ACCEPT #Define fregment rule# /sbin/iptables -A FORWARD -f -m limit -limit 100/s -limit-burst 100 -j ACCEPT #Define icmp rule# /sbin/iptables -A FORWARD -p icmp -m limit -limit 1/s -limit-burst 10 -j ACCEPTiptables 使用实例IPtables使用实例，来自我国某校，此文详细说明了完成的目的# 原文件是依 DMZ 需求设计，已根据校园 NAT 网络之需求修改，其余改动部份包括：# 新增通讯协议定义区块# 新增执行时，自动清除已设定之规则# 支援 FTP# 修改所有规则，改采 multiport 方式以简化规则# 原文件仅支持 IP 伪装（多对一对应），已扩充为支持一对一对应及多对多对应# 支援 DNS、WEB、ftp、mail、wam、PCAnywhere、ssh.等多种服务器# Copyright (C) 2001 Oskar Andreasson # This program is free software; you can redistribute it and/or modify# it under the terms of the GNU General Public License as published by# the Free Software Foundation; version 2 of the License.# This program is distributed in the hope that it will be useful,# but WITHOUT ANY WARRANTY; without even the implied warranty of# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the# GNU General Public License for more details.# You should have received a copy of the GNU General Public License# along with this program or from the site that you downloaded it# from; if not, write to the Free Software Foundation, Inc., 59 Temple# Place, Suite 330, Boston, MA 02111-1307 USA# 1. Configuration options.# 1.0 Protocols Configuration.# 定义会用到的通讯协议HTTP=80HTTPS=443FTP=21FTP_DATA=20SMTP=25POP3=110IMAP=143SSH=22TELNET=23PCAW_TCP=5631PCAW_UDP=5632WEBMIN=10000WAM=12000DNS=53# 1.1 Internet Configuration.# 定义 NIC IP 及 WAN 接口INET_IP=163.21.xxx.253HTTP1_IP=163.21.xxx.2HTTP2_IP=163.21.xxx.4HTTP3_IP=163.21.xxx.9HTTP4_IP=163.21.xxx.6HTTP5_IP=163.21.xxx.7HTTP6_IP=163.21.xxx.10FTP1_IP=163.21.xxx.2FTP2_IP=163.21.xxx.6FTP3_IP=163.21.xxx.7MAIL1_IP=163.21.xxx.6MAIL2_IP=163.21.xxx.7PCAW1_IP=163.21.xxx.2PCAW2_IP=163.21.xxx.4WAM1_IP=163.21.xxx.6WAM2_IP=163.21.xxx.7DNS_IP=163.21.xxx.2IP_POOL=163.21.xxx.240-163.21.xxx.250INET_IFACE=eth1# 1.2 Local Area Network configuration.# 定义 NAT IP 及 LAN 接口LAN_IP=53LAN_HTTP1_IP=LAN_HTTP2_IP=LAN_HTTP3_IP=LAN_HTTP4_IP=LAN_HTTP5_IP=LAN_HTTP6_IP=3LAN_FTP1_IP=LAN_FTP2_IP=LAN_FTP3_IP=LAN_MAIL1_IP=LAN_MAIL2_IP=LAN_PCAW1_IP=LAN_PCAW2_IP=LAN_WAM1_IP=LAN_WAM2_IP=LAN_DNS_IP=LAN_IP_RANGE=/16LAN_BROADCAST_ADDRESS=55LAN_IFACE=eth0# 1.4 Localhost Configuration.# 定义 Loopback IP 及接口LO_IFACE=loLO_IP=# 1.5 IPTables Configuration.# 设定 iptables 指令路径IPTABLES=/sbin/iptables# 1.6 Other Configuration.# 2. Module loading.# Needed to initially load modules# 整理核心支持模块之清单/sbin/depmod -a# 2.1 Required modules# 加载会用到的模块/sbin/modprobe ip_tables/sbin/modprobe ip_conntrack/sbin/modprobe iptable_filter/sbin/modprobe iptable_mangle/sbin/modprobe iptable_nat/sbin/modprobe ipt_LOG/sbin/modprobe ipt_limit/sbin/modprobe ipt_state/sbin/modprobe ip_conntrack_ftp/sbin/modprobe ip_nat_ftp# 2.2 Non-Required modules# 其余未使用之模块#/sbin/modprobe ipt_owner#/sbin/modprobe ipt_REJECT#/sbin/modprobe ipt_MASQUERADE#/sbin/modprobe ip_conntrack_irc#/sbin/modprobe ip_nat_irc# 3. /proc set up.# 3.1 Required proc configuration# 启动 Forward 接口echo 1 /proc/sys/net/ipv4/ip_forward# 3.2 Non-Required proc configuration# 其余未使用之接口#echo 1 /proc/sys/net/ipv4/conf/all/rp_filter#echo 1 /proc/sys/net/ipv4/conf/all/proxy_arp#echo 1 /proc/sys/net/ipv4/ip_dynaddr# 4. rules set up.# 4.1 Filter table# 4.1.0 eset the default policies in the nat table.# 清除所有已设定之规则，回复到不设防状态$IPTABLES -P INPUT ACCEPT$IPTABLES -P FORWARD ACCEPT$IPTABLES -P OUTPUT ACCEPT$IPTABLES -t nat -P PREROUTING ACCEPT$IPTABLES -t nat -P POSTROUTING ACCEPT$IPTABLES -t nat -P OUTPUT ACCEPT$IPTABLES -t mangle -P PREROUTING ACCEPT$IPTABLES -t mangle -P OUTPUT ACCEPT$IPTABLES -F$IPTABLES -t nat -F$IPTABLES -t mangle -F$IPTABLES -X$IPTABLES -t nat -X$IPTABLES -t mangle -X# 4.1.1 Set policies# 定义安全政策为正面表列$IPTABLES -P INPUT DROP$IPTABLES -P OUTPUT DROP$IPTABLES -P FORWARD DROP# 4.1.2 Create userspecified chains# 新增使用者自订规则炼 bad_tcp_packets、 allowed 和 icmp_packets$IPTABLES -N bad_tcp_packets$IPTABLES -N allowed$IPTABLES -N icmp_packets# 4.1.3 Create content in userspecified chains# bad_tcp_packets chain# bad_tcp_packets 规则炼的功能是：将要求重导向的联机记录起来，然后将封包丢弃（防止联机被绑架，但会档掉需要三方交谈的服务，例如：M$ Media Server）$IPTABLES -A bad_tcp_packets -p tcp ! -syn -m state -state NEW -j LOG -log-level INFO -log-prefix New not syn:$IPTABLES -A bad_tcp_packets -p TCP ! -syn -m state -state NEW -j DROP# allowed chain# allowed 规则炼的功能是：允许要求联机封包或响应封包进入，将其余封包丢弃$IPTABLES -A allowed -p TCP -syn -j ACCEPT$IPTABLES -A allowed -p TCP -m state -state ESTABLISHED,RELATED -j ACCEPT$IPTABLES -A allowed -p TCP -j DROP# ICMP rules# icmp_packets 规则炼的功能是：允许 ping 封包进入，将其余封包丢弃$IPTABLES -A icmp_packets -p ICMP -s 0/0 -icmp-type 8 -j ACCEPT$IPTABLES -A icmp_packets -p ICMP -s 0/0 -icmp-type 11 -j ACCEPT# 4.1.4 INPUT chain（过滤要到达防火墙的封包）# 进入防火墙主机的 TCP 封包必须先进行 bad_tcp_packets 过滤$IPTABLES -A INPUT -p tcp -j bad_tcp_packets# 从 WAN 进入防火墙主机的 ICMP 封包必须先进行 icmp_packets 过滤，这是为了避免骇客传送不完整的 IP 封包，系统会响应 ICMP 封包通知对方，导致主机位置被侦测出来$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets# 从 LAN 进入防火墙主机的全部 unicast 和 broadcast 封包，通通放行；额外检查目的地 IP 可以将 multicast 封包滤除$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_IP -j ACCEPT$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT# 从 Loopback 接口进入防火墙主机的所有封包，检查是否来自本机，若是则放行；此规则去检查来源 IP ，似乎有些画蛇添足，因为只有来自本机的封包才有机会进入 Loopback 接口$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT# 从 LAN 进入防火墙主机的 DHCP 封包，予以放行，只有当防火墙担任 DHCP 时才使用#$IPTABLES -A INPUT -p UDP -i $LAN_IFACE -dport 67 -sport 68 -j ACCEPT# 从 WAN 进入防火墙主机的所有封包，检查是否为响应封包，若是则予以放行$IPTABLES -A INPUT -p ALL -d $INET_IP -m state -state ESTABLISHED,RELATED -j ACCEPT# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击$IPTABLES -A INPUT -m limit -limit 3/minute -limit-burst 3 -j LOG -log-level INFO -log-prefix IPT INPUT packet died: # 4.1.5 FORWARD chain（过滤要通过防火墙的封包）# 通过防火墙的 TCP 封包必须先进行 bad_tcp_packets 过滤$IPTABLES -A FORWARD -p TCP -j bad_tcp_packets# 从 LAN 要到 WAN 的封包通通放行$IPTABLES -A FORWARD -i $LAN_IFACE -o $INET_IFACE -j ACCEPT# 从 WAN 要到 LAN 的封包仅放行回应封包$IPTABLES -A FORWARD -i $INET_IFACE -o $LAN_IFACE -m state -state ESTABLISHED,RELATED -j ACCEPT# 允许来自 WAN 的 Ping 封包，递送到校内所有的服务器$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -j icmp_packets$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -j icmp_packets$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -j icmp_packets$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -j icmp_packets$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -j icmp_packets$IPTABLES -A FORWARD -p ICMP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -j icmp_packets# 允许来自 WAN 的 HTTP、HTTPS 封包，递送到校内所有的 WEB 服务器$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP1_IP -m multiport -dport $HTTP,$HTTPS -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP2_IP -m multiport -dport $HTTP,$HTTPS -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP3_IP -m multiport -dport $HTTP,$HTTPS -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP4_IP -m multiport -dport $HTTP,$HTTPS -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP5_IP -m multiport -dport $HTTP,$HTTPS -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_HTTP6_IP -m multiport -dport $HTTP,$HTTPS -j allowed# 允许来自 WAN 的 FTP 封包，递送到校内所有的 FTP 服务器$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP1_IP -m multiport -dport $FTP,$FTP_DATA -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP2_IP -m multiport -dport $FTP,$FTP_DATA -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_FTP3_IP -m multiport -dport $FTP,$FTP_DATA -j allowed# 允许来自 WAN 的 SMTP、POP3、IMAP 封包，递送到校内所有的 MAIL 服务器$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL1_IP -m multiport -dport $SMTP,$POP3,$IMAP -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_MAIL2_IP -m multiport -dport $SMTP,$POP3,$IMAP -j allowed# 允许来自 WAN 的 SSH、TELNET、WEBMIN、WAM 封包，递送到校内所有的 LINUX 服务器$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM1_IP -m multiport -dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_WAM2_IP -m multiport -dport $SSH,$TELNET,$WEBMIN,$WAM -j allowed# 允许来自 WAN 的 PCanywhere 封包，递送到校内所有的 PCanywhere 服务器$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP -dport $PCAW_TCP -j allowed$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW1_IP -dport $PCAW_UDP -j ACCEPT$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP -dport $PCAW_TCP -j allowed$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_PCAW2_IP -dport $PCAW_UDP -j ACCEPT# 允许来自 WAN 的 DNS 封包，递送到校内的 DNS 服务器$IPTABLES -A FORWARD -p TCP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP -dport $DNS -j allowed$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP -dport $DNS -j ACCEPT# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击$IPTABLES -A FORWARD -m limit -limit 3/minute -limit-burst 3 -j LOG -log-level DEBUG -log-prefix IPT FORWARD packet died: # 4.1.6 OUTPUT chain（过滤从防火墙送出的封包）# 从防火墙送出的 TCP 封包必须先进行 bad_tcp_packets 过滤$IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets# 从防火墙网卡送出的所有封包，通通放行$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击$IPTABLES -A OUTPUT -m limit -limit 3/minute -limit-burst 3 -j LOG -log-level DEBUG -log-prefix IPT OUTPUT packet died: # 4.2 nat table# 4.2.1 Set policies# 4.2.2 Create user specified chains# 4.2.3 Create content in user specified chains# 4.2.4 PREROUTING chain（定义目的地地址转译）# 从 WAN 要到校内服务器的封包，在封包过滤前先转译目的地 IP 为 NAT IP$IPTABLES -t nat -A PREROUTING -d $HTTP1_IP -j DNAT -to-destination $LAN_HTTP1_IP$IPTABLES -t nat -A PREROUTING -d $HTTP2_IP -j DNAT -to-destination $LAN_HTTP2_IP$IPTABLES -t nat -A PREROUTING -d $HTTP3_IP -j DNAT -to-destination $LAN_HTTP3_IP$IPTABLES -t nat -A PREROUTING -d $HTTP4_IP -j DNAT -to-destination $LAN_HTTP4_IP$IPTABLES -t nat -A PREROUTING -d $HTTP5_IP -j DNAT -to-destination $LAN_HTTP5_IP$IPTABLES -t nat -A PREROUTING -d $HTTP6_IP -j DNAT -to-destination $LAN_HTTP6_IP# 4.2.5 POSTROUTING chain（定义来源地址转译）# 从校内服务器要到 WAN 的封包，在送出之前先转译来源 IP 为 NIC IP，配合上面区块的设定，就可以做到一对一对应$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP1_IP -j SNAT -to-source $HTTP1_IP$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s $LAN_HTTP2_IP -j SNAT -to-source $HTTP2_IP$IPTABLES -t nat -A POSTROUTING