iptables nat 外网nat到内网在只限制外网访问的单一ip地址

166 /etc/init.d/iptables start
167 iptables -I INPUT -s 192.168.10.0/24 -p tcp -j ACCEPT
168 /etc/init.d/iptables save
169 iptables -t nat -A PREROUTING -d 114.112.89.xx -p tcp -j DNAT --to-destination 192.168.10.133
170 iptables -I INPUT -s 106.39.102.171 -p tcp -j ACCEPT
171 /etc/init.d/iptables save
172 /etc/init.d/iptables restart
173 iptables -t nat -nL
174 iptables -nL

[root@sjzxjd009 ~]# iptables -t nat -D PREROUTING 1
[root@sjzxjd009 ~]# iptables -t nat -nL

2、 4个表:filter,nat,mangle,raw，默认表是filter（没有指定表的时候就是filter表）。表的处理优先级：raw>mangle>nat>filter。

          filter：一般的过滤功能

          nat:用于nat功能（端口映射，地址映射等）

          mangle:用于对特定数据包的修改

          raw:有限级最高，设置raw时一般是为了不再让iptables做数据包的链接跟踪处理，提高性能

     RAW 表只使用在PREROUTING链和OUTPUT链上,因为优先级最高，从而可以对收到的数据包在连接跟踪前进行处理。一但用户使用了RAW表,在某个链 上,RAW表处理完后,将跳过NAT表和 ip_conntrack处理,即不再做地址转换和数据包的链接跟踪处理了.

         RAW表可以应用在那些不需要做nat的情况下，以提高性能。如大量访问的web服务器，可以让80端口不再让iptables做数据包的链接跟踪处理，以提高用户的访问速度。

 3、 5个链：PREROUTING,INPUT,FORWARD,OUTPUT,POSTROUTING。

           PREROUTING:数据包进入路由表之前

           INPUT:通过路由表后目的地为本机

           FORWARD:通过路由表后，目的地不为本机

           OUTPUT:由本机产生，向外转发

           POSTROUTIONG:发送到网卡接口之前。如下图：