Eth0的IP 地址，GW和DNS 都是自动获取的。

当然，如果是手动分配IP 、GW 和DNS 也是没问题的。

我的eth0 配置如下：IP: 192.168.79.129/24GW: 192.168.79.1DNS:192.168.79.2Linux 主机的eth1 指向内网，IP 地址为：10.50.10 .1/24 。

内网主机的内网主机的IP 地址就是10.50.10.0/24 段的IP ，eth1 的IP 是所有内网主机的网关。

这里，我的内网主机设置如下：IP: 10.50.10.46/24GW: 10.50.10.1DNS:192.168.79.2这里，所有内网主机的网关都设置为eth1 的IP 地址，而DNS 设置为eth1 所在的Linux 系统主机的DNS ，即192.168.79.2 。

（二）启用转发功能以上配置完成后，Host A应该可以ping通Linux系统主机的eth1的IP，因为他们是通过交换机链接的。

但是，Host A应该可以ping不通Linux系统主机的eth0的IP，应为并未开启Linux系统主机的转发功能。

开启Linux的转发功能，执行如下命令：# echo 1 > /proc/sys/net/ipv4/ip_forward查看系统是否启用了转发功能，可以执行如下命令：# cat /proc/sys/net/ipv4/ip_forward如果结果为1，代表已启用，0代表未启用。

此时，执行ping 192.168.72.129 以及其网关和DNS都可ping通了。

（三）配置NAT规则经过第二部分配置后，虽然可以ping相关的IP地址，但是内网主机还是无法上网。

问题在于内网主机的IP地址是无法在公网上路由的。

因此，需要转换成Linux系统主机可以上网的IP（注：这里我们只说不说是公网IP，是因为Linux系统可以直接上外网的IP同样是内网IP。

但是该内网IP（192.168.79.129）已经通过一些机制，实际上同样是NAT的方式，可以访问外网了，因此我们只需将Host A的IP转换成Linux系统eth0接口的IP即可）。

我们配置的NATNAT 转换：#iptables -t nat -A POSTROUTING -s 10.50.10.0/24 -o eth0 -j MASQUERADE也可以通过使用 SNAT target 实现：#iptables -t nat -A POSTROUTING -s 10.50.10.0/24 -o eth0 -j SNAT --to-source 192.168.79.129至于 MASQUERADE 和 SNAT 的区别，可以网上搜索，有相关的解释。

同时，还要在 FORWARD 点出配置规则如下：#iptables -A FORWARD -i eth1 -j ACCEPT保证所有进入 eth1 的包都被 FORWARD 点 ACCEPT 。

经过以上的配置之后， Host A 就可以正常的访问外网了。

问题：iptables中snat和MASQUERADE的区别解决方案iptables中可以灵活的做各种网络地址转换（NAT）网络地址转换主要有两种：snat和DNATsnat是source network address translation的缩写即源地址目标转换比如，多个PC机使用ADSL路由器共享上网每个PC机都配置了内网IPPC机访问外部网络的时候，路由器将数据包的报头中的源地址替换成路由器的ip 当外部网络的服务器比如网站web服务器接到访问请求的时候他的日志记录下来的是路由器的ip地址，而不是PC机的内网ip这是因为，这个服务器收到的数据包的报头里边的“源地址”，已经被替换了所以叫做snat，基于源地址的地址转换DNAT是destination network address translation的缩写即目标网络地址转换典型的应用是，有个web服务器放在内网配置内网ip，前端有个防火墙配置公网ip 互联网上的访问者使用公网ip来访问这个网站当访问的时候，客户端发出一个数据包这个数据包的报头里边，目标地址写的是防火墙的公网ip防火墙会把这个数据包的报头改写一次，将目标地址改写成web服务器的内网ip 然后再把这个数据包发送到内网的web服务器上这样，数据包就穿透了防火墙，并从公网ip变成了一个对内网地址的访问了即DNAT，基于目标的网络地址转换MASQUERADE，地址伪装，在iptables中有着和snat相近的效果，但也有一些区别但使用snat的时候，出口ip的地址范围可以是一个，也可以是多个，例如：如下命令表示把所有10.8.0.0网段的数据包snat成192.168.5.3的ip然后发出去iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j snat--to-source 192.168.5.3如下命令表示把所有10.8.0.0网段的数据包snat成192.168.5.3/192.168.5.4/192.168.5.5等几个ip然后发出去iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j snat--to-source 192.168.5.3-192.168.5.5这就是snat的使用方法，即可以NAT成一个地址，也可以NAT成多个地址但是，对于snat，不管是几个地址，必须明确的指定要snat的ip假如当前系统用的是ADSL动态拨号方式，那么每次拨号，出口ip192.168.5.3都会改变而且改变的幅度很大，不一定是192.168.5.3到192.168.5.5范围内的地址这个时候如果按照现在的方式来配置iptables就会出现问题了因为每次拨号后，服务器地址都会变化，而iptables规则内的ip是不会随着自动变化的每次地址变化后都必须手工修改一次iptables，把规则里边的固定ip改成新的ip这样是非常不好用的MASQUERADE就是针对这种场景而设计的，他的作用是，从服务器的网卡上，自动获取当前ip地址来做NAT比如下边的命令：iptables -t nat -A POSTROUTING -s 10.8.0.0/255.255.255.0 -o eth0 -j MASQUERADE如此配置的话，不用指定snat的目标ip了不管现在eth0的出口获得了怎样的动态ip，MASQUERADE会自动读取eth0现在的ip地址然后做snat出去这样就实现了很好的动态snat地址转换查看当前iptables的当前配置：Iptables –LIptables –t nat –LIptables –L –n清除规则：[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则Iptables保存：[root@tp ~]#/etc/rc.d/init.d/iptables saveIptables服务器重启：这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.[root@tp ~]# service iptables restart现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧(3)设定预设规则[root@tp ~]# iptables -P INPUT DROP[root@tp ~]# iptables -P OUTPUT ACCEPT[root@tp ~]# iptables -P FORWARD DROP上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.这样设置还是挺合理的,当然你也可以三个链都DROP,但这样做我认为是没有必要的,而且要写的规则就会增加.但如果你只想要有限的几个规则是,如只做WEB服务器.还是推荐三个链都是DROP.注:如果你是远程SSH登陆的话,当你输入第一个命令回车的时候就应该掉了.因为你没有设置任何规则.怎么办,去本机操作呗!(4)添加规则.首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链为了能采用远程SSH登陆,我们要开启22端口.[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT(注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)如果做了WEB服务器,开启80端口.[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT如果做了邮件服务器,开启25,110端口.[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT如果做了FTP服务器,开启21端口[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT如果做了DNS服务器,开启53端口[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT如果你还做了其他的服务器,需要开启哪个端口,照写就行了.上面主要写的都是INPUT链,凡是不在上面的规则里的,都DROP允许icmp包通过,也就是允许ping,[root@tp ~]# iptables -A OUTPUT -p icmp -j ACCEPT (OUTPUT设置成DROP的话)[root@tp ~]# iptables -A INPUT -p icmp -j ACCEPT (INPUT设置成DROP的话)允许loopback!(不然会导致DNS无法正常关闭等问题)IPTABLES -A INPUT -i lo -p all -j ACCEPT (如果是INPUT DROP)IPTABLES -A OUTPUT -o lo -p all -j ACCEPT(如果是OUTPUT DROP)下面写OUTPUT链,OUTPUT链默认规则是ACCEPT,所以我们就写需要DROP(放弃)的链.减少不安全的端口连接[root@tp ~]# iptables -A OUTPUT -p tcp --sport 31337 -j DROP[root@tp ~]# iptables -A OUTPUT -p tcp --dport 31337 -j DROP有些些特洛伊木马会扫描端口31337到31340(即黑客语言中的elite 端口)上的服务。