server---防火墙与NAT

1、linux防火墙类型：Netfilter(封包过滤)、Wrappers（程序管控）、Proxy
（1）Netfilter和iptables ：
​Linux内核集成了网络访问控制模块Netfilter，而在用户层我们可以通过iptables这程序来对netfilter模块进行管理，从而实现允许，丢弃，拒绝等基本操作。​​
Netfilter分析对象：ip、port、mac
（2）Proxy：分析来源、目的ip
（3）Wrappers：
配置文件：/etc/hosts.allow /etc/hosts.deny
可以限制的软件：由super daemon所管理的服务（/etc/xinetd.d） 、支持libwrap.so模块的服务 (ldd $(which 服务名) )
2、iptables
iptables 由若干表格构成，每个表格由表格名、Chain、Policy、Rule构成。
预设情况下有三个表格：filter、nat、mangle
(1)filter：本机进出filter。
chain：input :与进入本机的封包有关。
chain ：output：与本机送出的封包有关。
chain：forward：传递封包到后端计算机。（nat）
(2)nat：转换linux主机后的局域网主机的ip或port
chain：prerouting：路由判断前要进行的规则
chain：postrouting：路由判断后要进行的规则
chain：output：与发送的封包有关
封包传递要经过的表格：

A：进入Linux主机的封包
B：进入Linux主机后的局域网的封包
C：从Linux主机发出的封包
iptables -L -n //列出默认表格fileter
iptables -t nat -L -n //列出nat表格
iptables-save //查看所有规则
清除所有规则：
iptables -F iptables -X iptables -Z
iptables -P INPUT ACCEPT //修改filter的input为accept
3、NAT服务器：
从LAN将封包送出：
nat prerouting(修改目的ip，DNAT) ->filter forward ->nat postrouting (修改来源ip，SNAT)
发送数据：将private ip 改成public ip
接收数据：将public ip 改成private ip