第三章：怎么通过docker实现iptables防火墙模拟nat网关通信过程？

iptables
-t nat # t 参数，指定nat表
-A POSTROUTING #指定防火墙链
-s 172.17.0.0/16 #指定 私有网络路由网关
-j MASQUERADE #伪装私有网络设备路由上网
iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE #伪装私有网络设备路由上网
iptables -t nat -A PREROUTING #接受路由进来
-d 172.20.20.10 #指定宿主机ip地址目的是可以转换端口
-p tcp #指定协议
-m tcp #指定协议模块
--dport 6022 #指定映射端口
-j DNAT #指定dnat协议
--to-destination 172.17.0.4:22 #路由之前,，指定内网ip地址和映射端口
iptables -t nat -A PREROUTING -d 172.20.20.10 -p tcp -m tcp --dport 6022 -j DNAT --to-destination 172.17.0.4:22
iptables -t nat -A POSTROUTING #接受路由出去
-d 172.20.20.10
-p tcp
-m tcp
--dport 22
-j SNAT
--to-source 172.17.0.4 #路由之后
iptables -t nat -A POSTROUTING -d 172.20.20.10 -p tcp -m tcp --dport 22 -j SNAT --to-source 172.17.0.4

</p>
<h1>Generated by iptables-save v1.4.21 on Wed Nov 23 06:21:54 2022</h1>
<dl>
<dt>*filter</dt>
<dd>INPUT DROP [0:0] drop #拒绝访问访问</dd>
<dd>FORWARD ACCEPT [51993:39802458] accept #接受访问</dd>
<dd>OUTPUT ACCEPT [7186:759070] [7186:759070]前面表示包后面表示字节
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Wed Nov 23 06:21:54 2022
# Generated by iptables-save v1.4.21 on Wed Nov 23 06:21:54 2022
*nat</dd>
<dd>PREROUTING ACCEPT [97:10855]</dd>
<dd>INPUT ACCEPT [0:0]</dd>
<dd>OUTPUT ACCEPT [20:1520]</dd>
<dd>POSTROUTING ACCEPT [59:3548]
-A PREROUTING -d 172.20.20.10/32 -p tcp -m tcp --dport 6022 -j DNAT --to-destination 172.17.0.4:22
-A PREROUTING -d 172.20.20.10/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.0.4:80
-A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE
-A POSTROUTING -d 172.20.20.10/32 -p tcp -m tcp --dport 22 -j SNAT --to-source 172.17.0.2
-A POSTROUTING -d 172.20.20.10/32 -p tcp -m tcp --dport 80 -j SNAT --to-source 172.17.0.2
COMMIT
# Completed on Wed Nov 23 06:21:54 2022