Ubuntu ufw 配置nat

jxdiscuz

　　ufw是ubuntu下默认自带的一个超级好用的防火墙.有了它以后,你可以轻松配置出来很强悍的防火墙,而不用再记复杂的iptables语法(当然了它只是个简化命令,底层依然是调用的iptables.).它的语法虽然简单易用,但是笔者在用它配置nat映射的时候,却发现没有相关的语法.网上搜索竟也没有相关的中文资料.对比官方文档,几经摸索终于弄明白了ufw怎么配置nat不敢独享,特记录如下:
　　1.修改ufw文件,允许接收转发的包
vi /etc/default/ufw　　
      DEFAULT_FORWARD_POLICY="ACCEPT"
　　2.修改sysctl.conf启用内核转发(取消注释)
vi /etc/ufw/sysctl.conf　　
      net/ipv4/ip_forward=1
　　3.修改before.rules,添加相应的nat配置,直接添加到文件末尾的COMMIT下面就可以了.
vi /etc/ufw/before.rules　　
      *nat
　　
      :PREROUTING - [0:0]
　　
      :POSTROUTING - [0:0]
　　
      -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 192.168.1.100:22
　　
      -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
　　
      COMMIT
　　这个地方要注意的就是必需同时添加PREROUTING和POSTROUTING.这也是通过ufw配置nat时的难点所在!笔者很长一段时间都浪费在反复修改PREROUTING上.后来仔细一想,有进来的包也必需有出去的包nat才能成行吧,于是试着添加POSTROUTING,结果就通了!这个地方还有一点应该就是rules文件的语法吧.
　　*nat
　　:PREROUTING - [0:0]
　　:POSTROUTING - [0:0]
　　#这个地方加自定义语句
　　COMMIT
　　之前也是很长一段时间,都在原有的COMMIT里加东西,测试,也是浪费了挺长的时间才看明白,语法.
　　4.重启ufw

　　ufw disable&&ufw enable or ufw>　　顺路提醒一下,如果是远程连接进去配置ufw会提示:
　　Command may disrupt existing ssh connections. Proceed with operation (y|n)?
　　所以如果你之前没有允许ssh的连接,不建议远程调整防火墙的(把自己拦外面了,可没人管哟~).
　　5.查看nat映射(还是用的iptables,ufw里看不到)
root@localhost:/etc/ufw# iptables -L -t nat　　
Chain PREROUTING (policy ACCEPT)
　　
target     prot opt source               destination
　　
DNAT       tcp  --  anywhere             anywhere            tcp dpt:22 to:192.168.1.100:22
　　
Chain POSTROUTING (policy ACCEPT)
　　
target     prot opt source               destination
　　
MASQUERADE  all  --  localhost/24         anywhere
　　
Chain OUTPUT (policy ACCEPT)
　　
target     prot opt source               destination
　　这里要注意的地方就是手动添加的nat,在重启ufw时,不会自动清理掉,所以每次重启ufw前,你会要手动清除nat映射:iptables -F -t nat.
root@localhost:/etc/ufw# ufw disable　　
Firewall stopped and disabled on system startup
　　
root@localhost:/etc/ufw# ufw enable
　　
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
　　
Firewall is active and enabled on system startup
　　
root@localhost:/etc/ufw# iptables -L -t nat
　　
Chain PREROUTING (policy ACCEPT)
　　
target     prot opt source               destination
　　
DNAT       tcp  --  anywhere             anywhere            tcp dpt:22 to:192.168.1.100:22
　　
DNAT       tcp  --  anywhere             anywhere            tcp dpt:22 to:192.168.1.100:22
　　
Chain POSTROUTING (policy ACCEPT)
　　
target     prot opt source               destination
　　
MASQUERADE  all  --  localhost/24         anywhere
　　
MASQUERADE  all  --  localhost/24         anywhere
　　
Chain OUTPUT (policy ACCEPT)
　　
target     prot opt source               destination