我运行了代码:
iptables-save -t nat -A PREROUTING -d 79.3.191.226 -j DNAT --to-destination 192.168.0.14
但我不知道它是否有效,因为我无法在我的目录中找到 iptables 文件。
iptables 脚本位于哪里?
答案1
这不是你使用 iptables-save 的方式
如果没有任何选择,它会将规则转储到您的终端,您必须重新重定向。
iptables-save > /etc/iptables.rules
http://bodhizazen.com/Tutorials/iptables#Saving_your_configuration
在 Ubuntu 上你应该使用 ufw
看https://help.ubuntu.com/lts/serverguide/firewall.html#ip-masquerading
答案2
如果你想设置路由器/防火墙和需要 到 问问题,你真的 不应该 使用 iptables而是使用ufw(支持 IPv6 和 IPv4)作为通过另一个路由器 DMZ 机制连接到互联网或直接连接到互联网且不路由任何流量的单台服务器机器。或者shorewall(仅支持 IPv4,用于shorewall6IPv6)作为路由机器。从头开始设置防火墙很复杂,而且容易出错。只需设置其中一个防火墙工具shorewall或更简单、功能更少的工具ufw,然后查看它们的设置方式iptables,您就会明白原因。
两者都不难正确设置且安全。使用起来iptable要困难得多,需要了解很多 RFC:s,比如 IPv4 的 RFC1918 等等。
防火墙前端shorewall设计用于防火墙机器和您的 LAN,并且至少与相比,设置起来相当容易iptable。您只需将一些文件从复制/usr/share/doc/shorewall/examples/到/etc/shorewall/,修改它们,然后运行shorewall --check(如果我没记错的话)以检查语法和一些语义,然后再启动它。
和 一样ufw,虽然它不是为转发和 NAT 而设计的,只是为了保护服务器和客户端。但就这一点而言,它很简单而且非常有用。您可以在转发路由器上进行设置,但随后您需要手动添加一些iptableNAT 规则,以便本地 LAN 中的机器可以通过路由器访问 Internet。您可能还想为公共服务器添加 DMZ,并记住始终使用 来保护这些服务器ufw,它ufw是为保护这些服务器而设计的。最好在路由器的另一个以太网接口上使用单独的 LAN。
尽量避免在路由机器上运行额外的服务器,因为这可能会为黑客打开更多针对路由器的“攻击媒介”。并使用nmap不同的机器检查路由器防火墙,看看从外部和内部打开了哪些内容。
nmap和都是wireshark路由器/防火墙管理员必备的工具。 总是检查您的设置。开放的路由器/防火墙很快就会被破坏。
不要忘记查看每个命令的手册页和包文档/usr/share/doc/package name/。