求助：iptables如何实现NAT？

haaaooo

我们单位原来使用sysgate实现代理服务器的，后来发现老是出问题，经常被病毒攻击，现在想装个Redhat9.0作为服务器，通过一个固定的公网IP：61.134.x.y，使单位50多台机器同时上网，可以浏览网页，访问公网的ftp，qq，msn，可以bt下载等，就是说内网访问外网不需要任何限制。
   服务器的系统已经装好，redhat9.0，两个网卡：eth0(内网：10.10.10.1)，eth1(外网：61.134.x.y)，内网地址从10.10.10.1~10.10.10.254。在网上看到可以只通过iptables来实现NAT即可，但我是新手，不知道如何实现，请前辈们指点迷津，在线等。。。

jbin82

#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 61.134.x.y

haaaooo

多谢！马上试一下。我把这两句写在/etc/rc.local文件的末尾应该就可以实现每次开机就自动设置了吧。
    再麻烦问一下，这样子实现安全性怎么样？外网可以访问内网的资源吗？外网可否会对内网的机器施以攻击？如果我在这台服务器上启动ftp服务，如何限制只让内网的机器访问服务器上的ftp，而外网不能访问这个ftp？

arch

看看这个吧，应该会对你有所帮助的。

http://iptables-tutorial.frozent ... rial-cn-1.1.19.html

suhe

http://www.iptables.org/document ... documentation-howto

这个应该更有帮助，看看NAT的部分吧，看完肯定你不会问任何问题了

haaaooo

多谢各位热心的指点！

haaaooo

有个问题再请教一下，通过redhat9.0做NAT后，发现内网的机器上网速度蛮好，只是通过bt下载，速度慢了许多，是不是bt的监听端口没有起作用？NAT服务器上如何设置来启用这个监听端口？还请高手们帮忙。

businesslcp

既然你使用的是RH9.0，并且现在只需要做NAT，你可以这个样子做：
1。编辑/etc/sysctl.conf 中的net.ipv4.ip_forward = 1,就是把以前的“0”改成“1”，启动IP转发
2。iptables -P INPUT DORP
     iptables -t nat -A POSTROUTING -s 10.10.10.0/24 -o eth1 -j SNAT --to 61.134.x.y
3.当然，这个只是简单的实现了NAT，但是并没有任何安全可言，并且，我们用iptables好像暂时还不能实现病毒过滤的功能：-）