|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?6 x1 i% z! B9 W
A:# web% b( ^& ~; K1 K# [8 N
# 用DNAT作端口映射
3 u6 s+ M) s3 D: G; t; ?! Ciptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.101 t3 ~6 w+ T- T- x. U# H- V. K# C
# 用SNAT作源地址转换(关键),以使回应包能正确返回, z# f' {6 P& z+ `/ _
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
# m3 a3 L" `5 f- K+ h& u3 r' ^# 一些人经常忘了打开FORWARD链的相关端口,特此增加
4 c/ q3 V7 ^9 v& ]* V. niptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
4 R) _6 f9 o" R- H- w8 Yiptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
6 M }1 z0 T" k# C, ]8 p% c4 J: u
# ftp
$ \5 S# u# ?" x! r: e5 U+ Gmodprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
& ]6 x1 A7 ]% p/ vmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块; l+ C( i; a$ L9 j' Z
# 用DNAT作端口映射; ]0 j3 O" C! A% q* y
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11( m) D& Y5 F) \
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
4 c+ y2 N8 P+ W& k9 Xiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
2 G6 |: w3 H6 k; ~" F( z- Siptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT' v: ?. b. K# Z* U1 p1 ^, I
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
6 ?- s) Y/ `8 _' ziptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT, X, g" u9 s6 P% y; W1 `
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT4 k/ K. }1 @. e; ]
# 用SNAT作源地址转换(关键),以使回应包能正确返回
% q. C& {1 I3 }, w6 H; k8 } X- Liptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 , O. L( `" ]; f Q5 e1 h8 u7 a
9 q& ]& e- K. }, g9 M. u0 G4 W
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:( c/ u% \' e m0 J8 H/ \& C. h# W
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128: J @( S I- V3 X; R" P- J
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
) s, [1 z* g* v/ eiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1; b7 Y/ d4 Y8 A" ?4 F
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
c @2 W) y; f$ Z2 F4 s' z1、把REDIRECT语句放到DNAT语句的后面,如下:
( k% f; ~, ?8 Niptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10! X9 n0 D$ ]$ e
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128* Z) ^! D3 E" p+ u; d. y
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
1 `9 U& m1 ]0 p( a- \; |/ fiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128$ s: R( x& T& x( `- h
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡