"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

можно применить действие DROP или ACCEPT к пакету, в зависимости от наших
нужд. Существует и ряд других действий, которые описываются ниже в этом
разделе. В результате выполнения одних действий, пакет прекращает свое
прохождение по цепочке, например DROP и ACCEPT, в результате других, после
выполнения неких операций, продолжает проверку, например, LOG, в результате
работы третьих даже видоизменяется, например DNAT и SNAT, TTL и TOS, но так
же продолжает продвижение по цепочке.

6.5.1. Действие ACCEPT

Данная операция не имеет дополнительных ключей. Если над пакетом
выполняется действие ACCEPT, то пакет прекращает движение по цепочке (и всем
вызвавшим цепочкам, если текущая цепочка была вложенной) и считается
ПРИНЯТЫМ (то бишь пропускается), тем не менее, пакет продолжит движение по
цепочкам в других таблицах и может быть отвергнут там. Действие задается с
помощью ключа -j ACCEPT.

6.5.2. Действие DNAT

DNAT (Destination Network Address Translation) используется для
преобразования адреса места назначения в IP заголовке пакета. Если пакет
подпадает под критерий правила, выполняющего DNAT, то этот пакет, и все
последующие пакеты из этого же потока, будут подвергнуты преобразованию
адреса назначения и переданы на требуемое устройство, хост или сеть. Данное
действие может, к примеру, успешно использоваться для предоставления доступа
к вашему web-серверу, находящемуся в локальной сети, и не имеющему реального
IP адреса. Для этого вы строите правило, которое перехватывает пакеты,
идущие на HTTP порт брандмауэра и выполняя DNAT передаете их на локальный
адрес web-сервера. Для этого действия так же можно указать диапазон адресов,
тогда выбор адреса назначения для каждого нового потока будет производиться
случайнам образом.
Действие DNAT может выполняться только в цепочках PREROUTING и OUTPUT
таблицы nat, и во вложенных под-цепочках. Важно запомнить, что вложенные
подцепочки, реализующие DNAT не должны вызываться из других цепочек, кроме
PREROUTING и OUTPUT.

Таблица 6-16. Действие DNAT
(Ключ - Пример - Описание)

Ключ: -to-destination
Пример: iptables -t nat -A PREROUTING -p tcp -d 15.45.23.67 -dport
80 -j DNAT -to-destination 192.168.1.1-192.168.1.10
Описание: Ключ -to-destination указывает, какой IP адрес должен быть
подставлен в качестве адреса места назначения. В выше приведенном примере во
всех пакетах, пришедших на адрес 15.45.23.67, адрес назначения будет изменен
на один из диапазона от 192.168.1.1 до 192.168.1.10. Как уже указывалось
выше, все пакеты из одного потока будут направляться на один и тот же адрес,
а для каждого нового потока будет выбираться один из адресов в указанном
диапазоне случайным образом. Можно также определить единственный IP адрес.
Можно дополнительно указать порт или диапазон портов, на который (которые)