在实际生产环境中,安全问题不容轻视,必须相信,linux也是不安全的。

在iptables规则中设置的严格一些对自己的提升,对公司的利益都有好处。

先阻止一切,再允许需要的规则。
FORWARD  初始动作是DROP

现在想做一个DNAT,用户访问123.222.111.99的8000端口可以跳转到192.168.9.100的80端口  
我做了一条DNAT
iptables -t nat -A PREROUTING -d 123.222.111.99 -p tcp  --dport 8000 -j DNAT --to-desitination 192.168.9.100:80
仅仅这一条是不行的,因为FORWORD中阻止了一切,用户其实是通过  123.222.111.99的8000端口访问192.168.9.100的80端口,现在只是可以访问  123.222.111.99的8000端口了,但是 跳转不过去,因为需要FORWARD中加一条允许规则
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
这样访问123.222.111.99的8000端口,才会跳转到192.168.9.100的80端口。