摘要：防火墻根據(jù)一組規(guī)則檢查這些頭，以確定接受哪個信息包以及拒絕哪個信息包。我們將該過程稱為信息包過濾。雖然信息包過濾系統(tǒng)被稱為單個實體，但它實際上由兩個組件和組成。處理出站信息包的規(guī)則被添加到鏈中。

本文部分內容節(jié)選自：netfilter/iptables 簡介 - IBM developerWorks

Linux 因其健壯性、可靠性、靈活性以及好象無限范圍的可定制性而在 IT 業(yè)界變得非常受歡迎。Linux 具有許多內置的能力， 使開發(fā)人員可以根據(jù)自己的需要定制其工具、行為和外觀，而無需昂貴的第三方工具。 如果 Linux 系統(tǒng)連接到因特網(wǎng)或 LAN、服務器或連接 LAN 和因特網(wǎng)的代理服務器， 所要用到的一種內置能力就是針對網(wǎng)絡上 Linux 系統(tǒng)的防火墻配置。 可以在 netfilter/iptables IP 信息包過濾系統(tǒng)（它集成在 2.4.x 版本的 Linux 內核中）的幫助下運用這種能力。

在如 ipfwadm和 ipchains 這樣的 Linux 信息包過濾解決方案中，netfilter/iptables IP 信息包過濾系統(tǒng)是最新的解決方案， 而且也是第一個集成到 Linux 內核的解決方案。 對于 Linux 系統(tǒng)管理員、網(wǎng)絡管理員以及家庭用戶（他們 想要根據(jù)自己特定的需求來配置防火墻、在防火墻解決方案上節(jié)省費用和對 IP 信息包過濾具有完全控制權）來說，netfilter/iptables 系統(tǒng)十分理想。

對于連接到網(wǎng)絡上的 Linux 系統(tǒng)來說，防火墻是必不可少的防御機制， 它只允許合法的網(wǎng)絡流量進出系統(tǒng)，而禁止其它任何網(wǎng)絡流量。為了確定網(wǎng)絡流量是否合法， 防火墻依靠它所包含的由網(wǎng)絡或系統(tǒng)管理員預定義的一組 規(guī)則。 這些規(guī)則告訴防火墻某個流量是否合法以及對于來自某個源、至某個目的地或具有某種協(xié)議類型的網(wǎng)絡流量要做些什么。 術語“配置防火墻”是指添加、修改和除去這些規(guī)則。稍后，我將詳細討論這些規(guī)則。

網(wǎng)絡流量由 IP 信息包（或，簡稱 信息包）— 以流的形式從源系統(tǒng)傳輸?shù)侥康牡叵到y(tǒng)的一些小塊數(shù)據(jù) — 組成。 這些信息包有頭，即在每個包前面所附帶的一些數(shù)據(jù)位，它們包含有關信息包的源、目的地和協(xié)議類型的信息。 防火墻根據(jù)一組規(guī)則檢查這些頭，以確定接受哪個信息包以及拒絕哪個信息包。我們將該過程稱為信息包過濾。

出于各種因素和原因，需要根據(jù)特定需求來配置防火墻。 或許，最重要的原因是安全性。

管理員可能想讓他們的防火墻能夠阻止未經授權的源訪問其 Linux 系統(tǒng)，例如通過 Telnet。 他們可能還想限制進出其系統(tǒng)的網(wǎng)絡流量，以便只有來自可信源的流量才可以進入其系統(tǒng)，以及只有授權的流量才可以出去。 家庭用戶可能通過允許所有的出站信息包都可以通過，將防火墻配置成較低的安全性級別。

另一個背后的原因是，通過阻塞來自類似廣告站點之類的源的多余流量，可以節(jié)省帶寬。

因而，可以定制防火墻配置來滿足任何特定需求和任何安全性級別需求。 這就是 netfilter/iptables 系統(tǒng)的用武之處。

netfilter/iptables IP 信息包過濾系統(tǒng)是一種功能強大的工具， 可用于添加、編輯和除去規(guī)則，這些規(guī)則是在做信息包過濾決定時，防火墻所遵循和組成的規(guī)則。這些規(guī)則存儲在專用的信息包過濾表中， 而這些表集成在 Linux 內核中。 在信息包過濾表中，規(guī)則被分組放在我們所謂的鏈（chain）中。我馬上會詳細討論這些規(guī)則以及如何建立這些規(guī)則并將它們分組在鏈中。

雖然 netfilter/iptables IP 信息包過濾系統(tǒng)被稱為單個實體，但它實際上由兩個組件 netfilter和 iptables 組成。

netfilter 組件也稱為 內核空間（kernelspace），是內核的一部分，由一些信息包過濾表組成， 這些表包含內核用來控制信息包過濾處理的規(guī)則集。

iptables 組件是一種工具，也稱為 用戶空間（userspace），它使插入、修改和除去信息包過濾表中的規(guī)則變得容易。 除非您正在使用 Red Hat Linux 7.1 或更高版本，否則需要從 netfilter.org 下載該工具并安裝使用它。

通過使用用戶空間，可以構建自己的定制規(guī)則，這些規(guī)則存儲在內核空間的信息包過濾表中。 這些規(guī)則具有 目標，它們告訴內核對來自某些源、前往某些目的地或具有某些協(xié)議類型的信息包做些什么。 如果某個信息包與規(guī)則匹配，那么使用目標 ACCEPT 允許該信息包通過。還可以使用目標 DROP 或 REJECT 來阻塞并殺死信息包。對于可對信息包執(zhí)行的其它操作，還有許多其它目標。

根據(jù)規(guī)則所處理的信息包的類型，可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加到 INPUT 鏈中。處理出站信息包的規(guī)則被添加到 OUTPUT 鏈中。處理正在轉發(fā)的信息包的規(guī)則被添加到 FORWARD 鏈中。這三個鏈是基本信息包過濾表中內置的缺省主鏈。 另外，還有其它許多可用的鏈的類型（如 PREROUTING 和 POSTROUTING ）， 以及提供用戶定義的鏈。每個鏈都可以有一個策略， 它定義“缺省目標”，也就是要執(zhí)行的缺省操作，當信息包與鏈中的任何規(guī)則都不匹配時，執(zhí)行此操作。

建立規(guī)則并將鏈放在適當?shù)奈恢弥螅涂梢蚤_始進行真正的信息包過濾工作了。 這時內核空間從用戶空間接管工作。當信息包到達防火墻時，內核先檢查信息包的頭信息，尤其是信息包的目的地。 我們將這個過程稱為 路由。

如果信息包源自外界并前往系統(tǒng)，而且防火墻是打開的，那么內核將它傳遞到內核空間信息包過濾表的 INPUT 鏈。如果信息包源自系統(tǒng)內部或系統(tǒng)所連接的內部網(wǎng)上的其它源，并且此信息包要前往另一個外部系統(tǒng)， 那么信息包被傳遞到 OUTPUT 鏈。類似的，源自外部系統(tǒng)并前往外部系統(tǒng)的信息包被傳遞到 FORWARD 鏈。

接下來，將信息包的頭信息與它所傳遞到的鏈中的每條規(guī)則進行比較，看它是否與某條規(guī)則完全匹配。 如果信息包與某條規(guī)則匹配，那么內核就對該信息包執(zhí)行由該規(guī)則的目標指定的操作。 但是，如果信息包與這條規(guī)則不匹配，那么它將與鏈中的下一條規(guī)則進行比較。 最后，如果信息包與鏈中的任何規(guī)則都不匹配，那么內核將參考該鏈的策略來決定如何處理該信息包。 理想的策略應該告訴內核 DROP 該信息包。

通過向防火墻提供有關對來自某個源、到某個目的地或具有特定協(xié)議類型的信息包要做些什么的指令，規(guī)則控制信息包的過濾。 通過使用 netfilter/iptables 系統(tǒng)提供的特殊命令 iptables ，建立這些規(guī)則，并將其添加到內核空間的特定信息包過濾表內的鏈中。關于添加／除去／編輯規(guī)則的命令的一般語法如下：

iptables [-t table] command [match] [target]

[-t table] 選項允許使用標準表之外的任何表。表是包含僅處理特定類型信息包的規(guī)則和鏈的信息包過濾表。 有三種可用的表選項： filter 、 nat 和 mangle 。該選項不是必需的，如果未指定， 則 filter 用作缺省表。

filter 表用于一般的信息包過濾，它包含 INPUT 、 OUTPUT 和 FORWARD 鏈。nat 表用于要轉發(fā)的信息包，它包含 PREROUTING 、 OUTPUT 和 POSTROUTING 鏈。 如果信息包及其頭內進行了任何更改，則使用 mangle 表。 該表包含一些規(guī)則來標記用于高級路由的信息包，該表包含 PREROUTING 和 OUTPUT 鏈。

注：PREROUTING 鏈由指定信息包一到達防火墻就改變它們的規(guī)則所組成，而 POSTROUTING 鏈由指定正當信息包打算離開防火墻時改變它們的規(guī)則所組成。

上面這條命令中具有強制性的 command 部分是 iptables 命令的最重要部分。 它告訴 iptables 命令要做什么，例如，插入規(guī)則、將規(guī)則添加到鏈的末尾或刪除規(guī)則。 以下是最常用的一些命令：

-A 或 --append ： 該命令將一條規(guī)則附加到鏈的末尾。

示例：

iptables -A INPUT -s 205.168.0.1 -j ACCEPT

該示例命令將一條規(guī)則附加到 INPUT 鏈的末尾，確定來自源地址 205.168.0.1 的信息包可以 ACCEPT 。

-D 或 --delete ： 通過用 -D 指定要匹配的規(guī)則或者指定規(guī)則在鏈中的位置編號，該命令從鏈中刪除該規(guī)則。 下面的示例顯示了這兩種方法。

示例：

iptables -D INPUT --dport 80 -j DROP 
iptables -D OUTPUT 3

第一條命令從 INPUT 鏈刪除規(guī)則，它指定 DROP 前往端口 80 的信息包。第二條命令只是從 OUTPUT 鏈刪除編號為 3 的規(guī)則。

-P 或 --policy ： 該命令設置鏈的缺省目標，即策略。 所有與鏈中任何規(guī)則都不匹配的信息包都將被強制使用此鏈的策略。

示例：

iptables -P INPUT DROP

該命令將 INPUT 鏈的缺省目標指定為 DROP 。這意味著，將丟棄所有與 INPUT 鏈中任何規(guī)則都不匹配的信息包。

-N 或 --new-chain ： 用命令中所指定的名稱創(chuàng)建一個新鏈。

示例：

iptables -N allowed-chain

-F 或 --flush ： 如果指定鏈名，該命令刪除鏈中的所有規(guī)則， 如果未指定鏈名，該命令刪除所有鏈中的所有規(guī)則。此參數(shù)用于快速清除。

示例：

iptables -F FORWARD 
iptables -F

-X 或 --delete-chain ： 如果指定鏈名，該命令刪除這條自定義的鏈， 如果未指定鏈名，該命令刪除所有自定義的鏈。此參數(shù)用于快速清除所有自定義的鏈，當然，默認的鏈無法刪除。

示例：

iptables -X MY_OWN_INPUT 
iptables -X

-L 或 --list ： 列出指定鏈中的所有規(guī)則。

示例：

iptables -L allowed-chain

iptables 命令的可選 match 部分指定信息包與規(guī)則匹配所應具有的特征（如源和目的地地址、協(xié)議等）。 匹配分為兩大類： 通用匹配和特定于協(xié)議的匹配。這里，我將研究可用于采用任何協(xié)議的信息包的通用匹配。 下面是一些重要的且常用的通用匹配及其示例和說明：

-p 或 --protocol ： 該通用協(xié)議匹配用于檢查某些特定協(xié)議。 協(xié)議示例有 TCP 、 UDP 、 ICMP 、用逗號分隔的任何這三種協(xié)議的組合列表以及 ALL （用于所有協(xié)議）。 ALL 是缺省匹配。可以使用 ! 符號，它表示不與該項匹配。

示例：

iptables -A INPUT -p TCP, UDP 
iptables -A INPUT -p ! ICMP

在上述示例中，這兩條命令都執(zhí)行同一任務 — 它們指定所有 TCP 和 UDP 信息包都將與該規(guī)則匹配。 通過指定 ! ICMP ，我們打算允許所有其它協(xié)議（在這種情況下是 TCP 和 UDP ）， 而將 ICMP 排除在外。

-s 或 --source ： 該源匹配用于根據(jù)信息包的源 IP 地址來與它們匹配。該匹配還允許對某一范圍內的 IP 地址進行匹配，可以使用 ! 符號，表示不與該項匹配。缺省源匹配與所有 IP 地址匹配。

示例：

iptables -A OUTPUT -s 192.168.1.1 
iptables -A OUTPUT -s 192.168.0.0/24 
iptables -A OUTPUT -s ! 203.16.1.89

第二條命令指定該規(guī)則與所有來自 192.168.0.0 到 192.168.0.24 的 IP 地址范圍的信息包匹配。第三條命令指定該規(guī)則將與 除來自源地址 203.16.1.89 外的任何信息包匹配。

-d 或 --destination ： 該目的地匹配用于根據(jù)信息包的目的地 IP 地址來與它們匹配。 該匹配還允許對某一范圍內 IP 地址進行匹配，可以使用 ! 符號，表示不與該項匹配。

示例：

iptables -A INPUT -d 192.168.1.1 
iptables -A INPUT -d 192.168.0.0/24 
iptables -A OUTPUT -d ! 203.16.1.89

我們已經知道，目標是由規(guī)則指定的操作，對與那些規(guī)則匹配的信息包執(zhí)行這些操作。 除了允許用戶定義的目標之外，還有許多可用的目標選項。下面是常用的一些目標及其示例和說明：

ACCEPT ： 當信息包與具有 ACCEPT 目標的規(guī)則完全匹配時， 會被接受（允許它前往目的地），并且它將停止遍歷鏈（雖然該信息包可能遍歷另一個表中的其它鏈，并且有可能在那里被丟棄）。 該目標被指定為 -j ACCEPT 。

DROP ： 當信息包與具有 DROP 目標的規(guī)則完全匹配時，會阻塞該信息包，并且不對它做進一步處理。 該目標被指定為 -j DROP 。

REJECT ： 該目標的工作方式與 DROP 目標相同，但它比 DROP 好。和 DROP 不同， REJECT 不會在服務器和客戶機上留下死套接字。 另外， REJECT 將錯誤消息發(fā)回給信息包的發(fā)送方。該目標被指定為 -j REJECT 。

示例：

iptables -A FORWARD -p TCP --dport 22 -j REJECT

RETURN ： 在規(guī)則中設置的 RETURN 目標讓與該規(guī)則匹配的信息包停止遍歷包含該規(guī)則的鏈。 如果鏈是如 INPUT 之類的主鏈，則使用該鏈的缺省策略處理信息包。 它被指定為 -jump RETURN 。示例：

iptables -A FORWARD -d 203.16.1.89 -jump RETURN

還有許多用于建立高級規(guī)則的其它目標，如 LOG 、 REDIRECT 、 MARK 、 MIRROR 和 MASQUERADE 等。

現(xiàn)在，您已經學習了如何建立基本的規(guī)則和鏈以及如何從信息包過濾表中添加或刪除它們。 但是，您應該記住：用上述方法所建立的規(guī)則會被保存到內核中，當重新引導系統(tǒng)時，會丟失這些規(guī)則。 所以，如果您將沒有錯誤的且有效的規(guī)則集添加到信息包過濾表，同時希望在重新引導之后再次使用這些規(guī)則， 那么必須將該規(guī)則集保存在文件中。可以使用 iptables-save命令來做到這一點：

iptables-save > iptables-script

現(xiàn)在，信息包過濾表中的所有規(guī)則都被保存在文件 iptables-script 中。無論何時再次引導系統(tǒng)， 都可以使用 iptables-restore 命令將規(guī)則集從該腳本文件恢復到信息包過濾表，如下所示：

iptables-restore iptables-script

如果您愿意在每次引導系統(tǒng)時自動恢復該規(guī)則集，則可以將上面指定的這條命令放到任何一個初始化 shell 腳本中。

在FTP服務中，有主動方式和被動方式之分。其中主動模式比較簡單，在主動方式中，F(xiàn)TP使用21和20端口，其中21端口用于傳輸控制指令，而20端口用于傳輸數(shù)據(jù)，主動方式所有報文都需要在20端口排隊發(fā)送或者接收，這樣就限制了服務器的并發(fā)性能；而被動方式中，F(xiàn)TP服務器會通過PASV命令通告客戶端開放的端口（一般是一個大端口號），然后客戶端就來連接。

這樣一來就出現(xiàn)了一個問題，因為一般情況下iptables是針對端口進行的防火墻包過濾。如果想使用FTP的被動方式，服務器就需要開放所有1024以上端口，否則客戶端的連接會被DROP掉，這樣就會變得不安全。但是如果不使用被動方式的話，主動方式的傳輸速率實在是太慢了。這類問題是iptables包過濾無法解決的問題。

舉個例子，我們首先將iptables在INPUT鏈和OUTPUT鏈的默認策略都設置為DROP：

iptables -P INPUT DROP
iptables -P OUTPUT DROP

然后我們開放FTP服務器的21和20端口：

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 20 -j ACCEPT

這樣一來，就可以使用FTP的主動方式來傳輸數(shù)據(jù)，我們使用FileZilla來連接這個FTP服務器（位于10.128.0.1）：

狀態(tài):     正在連接 10.128.0.1:21...
狀態(tài):     連接建立，等待歡迎消息...
狀態(tài):     不安全的服務器，不支持 FTP over TLS。
狀態(tài):     服務器不支持非 ASCII 字符。
狀態(tài):     已登錄
狀態(tài):     開始上傳 /Users/xiaolulwr/Documents/CAUC-Tec-Markdown/Linux/深入理解iptables防火墻.md
狀態(tài):     文件傳輸成功，傳輸了 16,532 字節(jié) (用時1 秒)
狀態(tài):     讀取“/root”的目錄列表...
狀態(tài):     計算服務器時差...
狀態(tài):     列出“/root”的目錄成功

但是一旦我們切換到被動方式，就無法進行數(shù)據(jù)傳輸：

狀態(tài):     正在連接 10.128.0.1:21...
狀態(tài):     連接建立，等待歡迎消息...
狀態(tài):     不安全的服務器，不支持 FTP over TLS。
狀態(tài):     服務器不支持非 ASCII 字符。
狀態(tài):     已登錄
狀態(tài):     讀取目錄列表...
命令:     PWD
響應:     257 "/root"
命令:     TYPE I
響應:     200 Switching to Binary mode.
命令:     PASV
響應:     227 Entering Passive Mode (10,128,0,1,230,163)
命令:     LIST
錯誤:     目錄列表被用戶終止

當我們使用PASV嘗試切換到被動模式之后，切換是可以成功的，但是切換之后再進行操作就無法成功了，原因也很好理解，因為除了關于20和21端口之外的報文都被DROP了。

為了解決上面的情況，解決方式就是使用iptables的狀態(tài)檢查功能。

狀態(tài)檢查功能，是指iptables除了可以按照IP地址、端口號、協(xié)議類型等條件對報文進行過濾之外，還具有一定的對報文的傳輸狀態(tài)進行檢查的功能，也就是說，iptables可以識別哪些報文屬于新產生的連接，哪些報文屬于伴隨連接。在FTP的被動模式中，PASV協(xié)商之后，F(xiàn)TP服務器將通過一個大的隨機端口和客戶端通信，這些報文就是FTP控制連接的伴隨連接的報文。這些報文不是平白無故產生的，如果沒有之前的FTP控制連接，就不會產生這些連接和報文。如果黑客想直接連接到大的端口上的話，這些連接就屬于新連接。這樣一來，就不必開放所有大于1024的端口，同時也可以允許FTP的被動方式了。

我們在上述配置規(guī)則之外，再配置下面的規(guī)則：

iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

上面規(guī)則的意思是，在iptables的INPUT和OUTPUT鏈上，允許ESTABLISHED和RELATED狀態(tài)的TCP報文，那么何為連接狀態(tài)呢？下面介紹四種連接的狀態(tài)：

ESTABLISHED：第一個成功穿越防火墻的報文之后所有的報文；

NEW：一個連接的第一個報文，例如TCP連接中的SYN報文；

RELATED：伴隨連接的報文，即某個已經處于ESTABLISHED的連接所產生的報文，這些報文不屬于第一條連接，但是的確是由第一條連接產生的；

INVALID：無法判斷狀態(tài)的報文。

當然值得注意的是，iptables的這種狀態(tài)檢查不是十分智能的，它只能識別到運輸層的伴隨連接，也就是說，對于FTP的協(xié)議伴隨連接，這種方式并不能很好的進行檢查。

在配置之后，就可以正常使用被動方式了：

狀態(tài):     正在連接 10.128.0.1:21...
狀態(tài):     連接建立，等待歡迎消息...
狀態(tài):     不安全的服務器，不支持 FTP over TLS。
狀態(tài):     服務器不支持非 ASCII 字符。
狀態(tài):     已登錄
狀態(tài):     開始上傳 /Users/xiaolulwr/Documents/CAUC-Personal/個人博客/ssl.txt
狀態(tài):     文件傳輸成功，傳輸了 3,550 字節(jié) (用時1 秒)
狀態(tài):     讀取“/root”的目錄列表...
狀態(tài):     列出“/root”的目錄成功
狀態(tài):     開始下載 /root/ssl.txt
狀態(tài):     文件傳輸成功，傳輸了 3,550 字節(jié) (用時1 秒)
狀態(tài):     已從服務器斷開

網(wǎng)絡地址轉換（NAT）可以解決IPv4地址不足的問題，使用NAT之后，局域網(wǎng)可以對廣域網(wǎng)隱藏內部的細節(jié)，讓整個局域網(wǎng)在廣域網(wǎng)上只表現(xiàn)為一個IP地址，這項技術廣泛應用于企業(yè)網(wǎng)絡、校園網(wǎng)絡以及運營商的網(wǎng)絡，因為并不是所有用戶都需要一個廣域網(wǎng)的地址，他們只需要一個私有網(wǎng)絡的地址就可以了，雖然這個地址不能直接在廣域網(wǎng)上使用，但是通過啟用了NAT的路由器，這些擁有私有網(wǎng)絡地址的設備也可以訪問廣域網(wǎng)上的資源。當然，隨著IPv6的普及，NAT的使用將會逐漸減少。

iptables也支持NAT功能，如前所述，iptable上中包含一個NAT表，其中有兩條缺省的鏈，也就是PREROUTING 和 POSTROUTING 鏈，在這兩條鏈上配置規(guī)則可以實現(xiàn)NAT功能。

在配置NAT之前，首先回顧一下NAT的兩種形式：

源地址轉換（SNAT）：適用于由局域網(wǎng)中的主機發(fā)起連接的情況。報文在經過NAT路由器時，將IP報文中的源IP地址轉換為一個有效的廣域網(wǎng)地址；在服務器給一個在私有網(wǎng)絡中的主機返回響應報文時，目的IP地址就是這個局域網(wǎng)對外的廣域網(wǎng)地址。報文到達NAT路由器的時候，路由器要將該報文分發(fā)給對應的主機，將IP報文的目的IP地址轉換為私有網(wǎng)絡地址；

目的地址轉換（DNAT）：又稱為“端口轉發(fā)”，適用于由廣域網(wǎng)上的主機發(fā)起連接的情況。當廣域網(wǎng)的主機訪問NAT路由器的廣域網(wǎng)端口時，可以將NAT路由器的廣域網(wǎng)的端口映射到局域網(wǎng)內的某個IP地址的某個端口，這樣就可以實現(xiàn)廣域網(wǎng)主機訪問局域網(wǎng)內的資源。

這里需要注意一點就是，SNAT和DNAT的“源”和“目的”指的并不是“源地址轉換”和“目的地址轉換”，而是指的發(fā)起連接的過程中的那個轉換，只考慮了請求包。其實可以簡單的理解為SNAT就是局域網(wǎng)主機發(fā)起連接，DNAT就是廣域網(wǎng)主機發(fā)起連接，要知道任何一個連接都是雙向傳輸數(shù)據(jù)，所以在配置防火墻的時候要特別注意這一點。

在iptables上配置NAT時，也可以配置SNAT和DNAT，我們的實驗環(huán)境有三臺主機，它們的基本網(wǎng)絡情況如下（注意；這里的172.20.10.0網(wǎng)絡仍然是局域網(wǎng)，只是模擬了廣域網(wǎng)而已）：

主機（作為廣域網(wǎng)服務器）
接口名稱：wlan
IP地址：172.20.10.4
子網(wǎng)掩碼：255.255.255.240
默認網(wǎng)關：172.20.10.1


虛擬機A（作為NAT路由器）
接口名稱：ens39（廣域網(wǎng)接口）
IP地址：172.20.10.3
子網(wǎng)掩碼：255.255.255.240
默認網(wǎng)關：172.20.10.1

接口名稱：ens38（局域網(wǎng)接口）
IP地址：192.168.1.1
子網(wǎng)掩碼：255.255.255.0
配置：
ifconfig ens38 192.168.1.1 netmask 255.255.255.0


虛擬機B（作為局域網(wǎng)主機）
接口名稱：eth1
IP地址：192.168.1.100
子網(wǎng)掩碼：255.255.255.0
默認網(wǎng)關：192.168.1.1
配置：
ifconfig eth1 192.168.1.100 netmask 255.255.255.0
route add default gw 192.168.1.1

首先啟用虛擬機A的路由轉發(fā)功能，編輯/etc/sysctl.conf文件

vi /etc/sysctl.conf

新增下面的條目：

net.ipv4.ip_forward=1

使上面的更改立即生效

sysctl -p

現(xiàn)在我們在虛擬機A中配置iptables的NAT表，使虛擬機B可以通過虛擬機A連接到主機的網(wǎng)絡。

# 適用于廣域網(wǎng)為固定IP地址的情況，本例是這種情況
iptables -t nat -A POSTROUTING -o ens38 -s 192.168.1.0/24 -j SNAT --to-source 172.20.10.3
# 適用于廣域網(wǎng)為動態(tài)分配IP地址的情況，典型例子是PPPoE
iptables -t nat -A POSTROUTING –o ens38 –s 192.168.1.0/24 –j MASQUERADE

命令的含義就是在路由操作之后，將從ens38接口上的192.168.1.0/24網(wǎng)絡上的報文的源IP地址，轉換為廣域網(wǎng)地址172.20.10.3（或者通過PPPoE得到的動態(tài)廣域網(wǎng)地址）并發(fā)送出去。這樣一來，在局域網(wǎng)中的虛擬機2就可以訪問廣域網(wǎng)上的的資源了。