我的防火墙内部网络有一个Web服务器
而且包经过防火墙要做NAT，如：
iptables -t nat -A PREROUTING -p tcp -d 192.168.0.107 --dport 80 -i eth0 -j DNAT --to 192.168.0.7
其中192.168.0.7是Real_Server，eth0是外部网络接口，eth1是内部网络接口
是否对出去的包也应该做NAT？我认为应该是这样的吧……
而且只允许外部网络对Web服务器访问，不允许该服务器访问外部网络，但是tcp的连接是双向的
如果是这样的话，怎么控制Web服务器不能访问外部网络呢？是用-syn来控制吗？

http://www.pttc.yn.cninfo.net/dtsy/nettech/linux/69271525.htm
http://cmpp.linuxforum.net/NetSnake/nathtcn.html
http://www.linuxsir.com/bbs/showthread.php?s=&threadid=4709
给几篇文章，我的也遇到的相同问题，通过这些文章解决的！


我的web服务器，http://flypc.3322.org/
就这样建起来的，仅供参考！

如果要使外部网络能访问内部的WEB服务器，仅做端口映射就可以了。
要屏蔽内部WEB服务器访问外部网络不需要使用-syn来控制。
加下以下规则即可
iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.7 -i eth1 -j DROP

他的规则就是出去的规则！

这么简单你测试一下不就清楚了！

不好意思，是我写错了，是应该是-o 你试一下看，行不行。