Linux实践工程师学习笔记二十五

三条链用来做包过滤

用来翻译地址的也有三条链，常用的有PREROUTING,POSTROUTING

SNAT（源地址翻译）

数据包进入内核前，首先进入PREROUTING这个点，然后进入内核进行处理，就是ROUTING那个点，如果数据包不是发送给本机，而内核启用了转发功能，则内核将把数据包从FORWARD，再到POSTROUTING。如果FORWARD允许数据包通过，这个包可以在POSTROUTING这个点上做源地址替换，而且只能在这个点上做，这是内核的一种机制，所以数据包的源地址是在经过POSTROUTING这个点后改变的。

DNAT（目标地址翻译）

数据包进入时，首先进入PREROUTING。然后内核ROUTING会根据包的目标地址决定是从INPUT链走还是FORWARD链走。所以数据包的目标地址非常重要。在PREROUTING上可以做目标地址替换。

SNAT应用

网关有两块网卡分别连接两台主机或两个网络。

#iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j SNAT --to-source 192.168.0.254

将源地址为10.0.0.0/24的包的源地址替换为192.168.0.254，如果这是一台ADSL拨号网关，可以将整个局域网带进互联网

#iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j MASQUERADE

有人会想数据包怎么回来？其实将数据包翻译成192.168.0.254源地址时，192.168.0.1回应一个数据包到服务器会被服务器认出来，那服务器会自动将翻译地址还原，然后退还给10.0.0.241。所以做网关时，只要加SNAT，然后配合前面的过滤规则就可配一个安全且强大的防火墙，同时具有路由器的功能。

DNAT应用

DNAT应用一般用来做DMZ，保护局域网内部

如192.168.0.1作为一台Web服务器，主机10.0.0.241访问10.0.0.254网关，网关将请求发送到192.168.0.1，这样就起到保护Web服务器的作用

#iptables -t nat -A PREROUTING -d 10.0.0.254 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1

将访问网关80端口的数据包目标地址翻译或192.168.0.1，这样本来发送给本机的数据包就会从FORWARD链转发出去。

Web服务器在内部，它收到请求后回应数据包给网关，然后返回到10.0.0.241。这样就把内部主机保护起来，外面的人只能看见那台网关服务器，所以NAT应用非常广，而且非常强大，更多帮助和介绍可参考www.netfilter.org

为软件打补丁，首先用gpg导入公钥文件，再校验patch文件的正确性。

#bzcat 9.3.0-patch | patch -p0

一般需查文件里面的目录，然后再将软件目录改名。