建立iptables NAT規則(轉)

post0發表於2007-08-10

建立iptables NAT規則(轉)[@more@]

#!/bin/sh

## File: rc.firewall.nat

## Set up iptables NAT rules.

IPTABLES="/usr/local/sbin/iptables"

EXTERNAL1="eth0"

EXTERNAL2="eth0"

INTERNAL="eth1"

DMZ_IF="eth2"

EXT_IP1="216.162.197.10/32"

EXT_IP2="216.162.197.11/32"

$IPTABLES -F -t nat

$IPTABLES -t nat -X

#####################################################################################

## Sentry.net EXTERNAL DNAT

$IPTABLES -t nat -N SENTRY_DNAT

$IPTABLES -t nat -F SENTRY_DNAT

##-----------------------------------------------------------------------------##

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 20 -j DNAT --to-destination 192.168.2.69:20

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 21 -j DNAT --to-destination 192.168.2.69:21

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 22 -j DNAT --to-destination 192.168.2.69:22

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 23 -j DNAT --to-destination 192.168.2.69:23

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 25 -j DNAT --to-destination 192.168.2.69:25

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 80 -j DNAT --to-destination 192.168.2.69:80

$IPTABLES -t nat -A SENTRY_DNAT -i $EXTERNAL1 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP1 --dport 110 -j DNAT --to-destination 192.168.2.69:110

##-----------------------------------------------------------------------------##

#####################################################################################

## Obsidian.net/org EXTERNAL DNAT

$IPTABLES -t nat -N OBS_DNAT

$IPTABLES -t nat -F OBS_DNAT

##-----------------------------------------------------------------------------##

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 20 -j DNAT --to-destination 192.168.2.42:20

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 21 -j DNAT --to-destination 192.168.2.42:21

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 22 -j DNAT --to-destination 192.168.2.42:22

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 23 -j DNAT --to-destination 192.168.2.42:23

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 25 -j DNAT --to-destination 192.168.2.42:25

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 80 -j DNAT --to-destination 192.168.2.42:80

$IPTABLES -t nat -A OBS_DNAT -i $EXTERNAL2 -p tcp -s ! 192.168.0.0/16

-d $EXT_IP2 --dport 110 -j DNAT --to-destination 192.168.2.42:110

##-----------------------------------------------------------------------------##

####################################################################################

## Sentry.net INTERNAL DNAT

$IPTABLES -t nat -N SENTRY_DNAT_INT

$IPTABLES -t nat -F SENTRY_DNAT_INT

##-----------------------------------------------------------------------------##

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 20 -j DNAT --to-destination 192.168.2.69:20

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 21 -j DNAT --to-destination 192.168.2.69:21

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 22 -j DNAT --to-destination 192.168.2.69:22

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 23 -j DNAT --to-destination 192.168.2.69:23

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 25 -j DNAT --to-destination 192.168.2.69:25

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 80 -j DNAT --to-destination 192.168.2.69:80

$IPTABLES -t nat -A SENTRY_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 --dport 110 -j DNAT --to-destination 192.168.2.69:110

##-----------------------------------------------------------------------------##

#####################################################################################

## Obsidian.net/org INTERNAL DNAT

$IPTABLES -t nat -N OBS_DNAT_INT

$IPTABLES -t nat -F OBS_DNAT_INT

##-----------------------------------------------------------------------------##

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 20 -j DNAT --to-destination 192.168.2.42:20

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 21 -j DNAT --to-destination 192.168.2.42:21

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 22 -j DNAT --to-destination 192.168.2.42:22

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 23 -j DNAT --to-destination 192.168.2.42:23

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 25 -j DNAT --to-destination 192.168.2.42:25

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 80 -j DNAT --to-destination 192.168.2.42:80

$IPTABLES -t nat -A OBS_DNAT_INT -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 --dport 110 -j DNAT --to-destination 192.168.2.42:110

##-----------------------------------------------------------------------------##

#####################################################################################

## DMZ_DNAT for Sentry.net

$IPTABLES -t nat -N SENTRY_DMZ_DNAT

$IPTABLES -t nat -F SENTRY_DMZ_DNAT

##-----------------------------------------------------------------------------##

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 20 -j DNAT --to-destination 192.168.2.69:20

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 21 -j DNAT --to-destination 192.168.2.69:21

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 22 -j DNAT --to-destination 192.168.2.69:22

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 23 -j DNAT --to-destination 192.168.2.69:23

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 25 -j DNAT --to-destination 192.168.2.69:25

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 80 -j DNAT --to-destination 192.168.2.69:80

$IPTABLES -t nat -A SENTRY_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP1

-p tcp --dport 110 -j DNAT --to-destination 192.168.2.69:110

##-----------------------------------------------------------------------------##

#####################################################################################

## DMZ_DNAT for Obsidian.net

$IPTABLES -t nat -N OBS_DMZ_DNAT

$IPTABLES -t nat -F OBS_DMZ_DNAT

##-----------------------------------------------------------------------------##

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

-p tcp --dport 20 -j DNAT --to-destination 192.168.2.42:20

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

-p tcp --dport 21 -j DNAT --to-destination 192.168.2.42:21

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.69/32 -d $EXT_IP2

-p tcp --dport 22 -j DNAT --to-destination 192.168.2.42:22

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

-p tcp --dport 23 -j DNAT --to-destination 192.168.2.42:23

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

-p tcp --dport 25 -j DNAT --to-destination 192.168.2.42:25

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

-p tcp --dport 80 -j DNAT --to-destination 192.168.2.42:80

$IPTABLES -t nat -A OBS_DMZ_DNAT -i $DMZ_IF -s 192.168.2.0/24 -d $EXT_IP2

-p tcp --dport 110 -j DNAT --to-destination 192.168.2.42:110

##-----------------------------------------------------------------------------##

#####################################################################################

## DNAT -- MAIN

$IPTABLES -t nat -A PREROUTING -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP1 -j SENTRY_DNAT_INT

$IPTABLES -t nat -A PREROUTING -i $INTERNAL -p tcp -s 192.168.1.0/24

-d $EXT_IP2 -j OBS_DNAT_INT

$IPTABLES -t nat -A PREROUTING -i $EXTERNAL1 -p tcp -s ! 192.168.1.0/24

-d $EXT_IP1 -j SENTRY_DNAT

$IPTABLES -t nat -A PREROUTING -i $EXTERNAL2 -p tcp -s ! 192.168.1.0/24

-d $EXT_IP2 -j OBS_DNAT

$IPTABLES -t nat -A PREROUTING -i $DMZ_IF -p tcp -s 192.168.2.42/32

-d $EXT_IP1 -j SENTRY_DMZ_DNAT

$IPTABLES -t nat -A PREROUTING -i $DMZ_IF -p tcp -s 192.168.2.69/32

-d $EXT_IP1 -j SENTRY_DMZ_DNAT

$IPTABLES -t nat -A PREROUTING -i $DMZ_IF -p tcp -s 192.168.2.42/32

-d $EXT_IP2 -j OBS_DMZ_DNAT

$IPTABLES -t nat -A PREROUTING -i $DMZ_IF -p tcp -s 192.168.2.69/32

-d $EXT_IP2 -j OBS_DMZ_DNAT

####################################################################################

## SNAT -- Source Network Address Translation ##

$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.0.0/16

-o $EXTERNAL1 -j SNAT --to-source 216.162.197.10

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.69/32 -d ! 192.168.0.0/16

-o $EXTERNAL1 -j SNAT --to-source 216.162.197.10

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.42/32 -d ! 192.168.0.0/16

-o $EXTERNAL2 -j SNAT --to-source 216.162.197.11

##-----------------------------------------------------------------------------##

## SNAT DMZ to DMZ connections.

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.69/32 -d 192.168.2.69/32

-o $DMZ_IF -p tcp -j SNAT --to-source 192.168.2.10

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.42/32 -d 192.168.2.42/32

-o $DMZ_IF -p tcp -j SNAT --to-source 192.168.2.10

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.42/32 -d 192.168.2.69/32

-o $DMZ_IF -p tcp -j SNAT --to-source 192.168.2.10

$IPTABLES -t nat -A POSTROUTING -s 192.168.2.69/32 -d 192.168.2.42/32

-o $DMZ_IF -p tcp -j SNAT --to-source 192.168.2.10

##-----------------------------------------------------------------------------#

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/8225414/viewspace-940688/，如需轉載，請註明出處，否則將追究法律責任。

相關文章

用iptables實現NAT(轉)
2007-08-10
NAT iptables防火牆(script)(轉)
2007-08-10
防火牆
使用IPtables搭建防火牆的規則(轉)
2007-08-13
防火牆
iptables防火牆規則
2020-12-02
防火牆
遮蔽埠 iptables 規則
2017-11-12
iptables常用規則列表
2007-05-20
iptables（三）網路地址轉換NAT
2018-08-29
iptables之NAT埠轉發設定
2016-09-12
iptables詳解及docker的iptables規則
2020-10-31
Docker
iptables深入解析：nat篇
2015-08-25
Debian使用iptables-persistent持久化iptables規則
2018-03-13
持久化
iptables 常用規則使用例項
2021-03-03
Iptables防火牆規則使用梳理
2017-01-09
防火牆
20條IPTables防火牆規則用法！
2022-10-19
防火牆
iptables 預設安全規則指令碼
2011-03-16
指令碼
Linux iptables實現nat轉發操作步驟
2009-05-12
Linux
25個常用的Linux iptables規則
2018-11-28
Linux
25 個常用的 Linux iptables 規則
2017-04-25
Linux
詳解網路知識：iptables規則
2024-02-19
如何用iptables實現NAT(zt)
2006-07-06
Linux IPTables：如何新增防火牆規則
2021-09-29
Linux防火牆
Ubuntu系統iptables規則的檢視和清除
2018-03-22
Ubuntu
重新封裝一個iptables防止規則重複
2017-11-12
封裝
linux系統中檢視己設定iptables規則
2019-04-29
Linux
資料包如何遊走於 Iptables 規則之間？
2023-09-18
iptables防火牆簡介,原理,規則編寫,常見案例
2020-11-08
防火牆
Nginx 跳轉規則
2018-10-12
Nginx
管理規則和基於規則的轉換——流
2010-08-18
JAVA語法規則 (轉)
2007-08-15
Java
RedHat 9上用iptables做NAT閘道器＋遠端使用kiwisyslog記錄日誌(轉)
2007-08-15
Redhat
JS中的"=="轉換規則
2015-07-10
JS
make常見規則解析(轉)
2007-08-10
編碼規則指南（轉貼）
2006-11-23
iptables 入門(轉)
2007-08-10
IPTables配置Script(轉)
2007-08-10
? 圖解 == 操作符規則和不同型別間轉換規則
2019-03-10
圖解型別
使用CRM軟體系統建立的分配規則
2023-10-11
筆記：隱式轉換規則
2018-01-10
筆記