设为首页收藏本站
切换到窄版

 找回密码
 立即注册

QQ登录

只需一步,快速开始

第一站论坛»论坛 技术交流 服务器 Iptables 端口映射方法详解
返回列表 发新帖
查看: 15285|回复: 0

Iptables 端口映射方法详解

[复制链接]
发表于 2013-1-27 21:04:48 | 显示全部楼层 |阅读模式
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?) r8 Y" Y$ z8 n  V
A:# web/ ?4 |8 Z+ ?  Q$ r% ]
# 用DNAT作端口映射4 m  `% K7 _" u. [
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
' e( C6 J" }$ n' w6 W4 I, y# 用SNAT作源地址转换(关键),以使回应包能正确返回
; J  ]- ]; a# Miptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1# T. }. j: f/ \) v( b% m* h" D# V
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
/ [* t4 W& \* f4 Oiptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
" `6 `, a) M6 y* O8 Y  C" Riptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT! m4 G1 l/ R: I6 A

/ `! z( K, A& x# o6 K( }# ftp! c7 |' ]( D/ T* q. s' G
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT( {5 Y# W6 u/ R
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块9 J' t+ D) m3 `( C" E& d( D1 o2 Y
# 用DNAT作端口映射' Z2 t: X: a4 u; ~
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
7 a  u* G, c2 ~8 R, Niptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
) Y! y. `* R- @' Z& _# L2 @iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
# w5 u: L7 D5 giptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
: M0 O1 T7 q: L# G" xiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
; I' H9 @6 `0 uiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
" K$ C" g* n0 r5 n) F+ @iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
7 D5 Q) H& q  Y( y* U# n# 用SNAT作源地址转换(关键),以使回应包能正确返回$ F, J# k5 G9 ~
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 5 d* l; P4 X: E8 m, m

& p; g5 D$ }2 ^, Q0 K3 SQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
( s" r+ f4 a; b% ~$ C4 s: giptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128* L# A  n( j" w/ e
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10% g; P' o3 |* X2 o
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
: G0 b2 g1 i; H3 |! XA:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:* U" d, W, s  j4 r2 O2 o  F3 S
1、把REDIRECT语句放到DNAT语句的后面,如下:
8 S; {* ?5 `+ a2 s. r8 o$ K; F8 C; Tiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
' G) E& _- ~& I. _2 n4 [4 a9 _iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128' s/ g& P: u- W
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:3 |' M0 H: X' T: P+ b
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 31289 _+ ^! t0 m# s. S/ N, E( r
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|第一站论坛 ( 蜀ICP备06004864号-6 )

GMT+8, 2026-7-1 05:26 , Processed in 0.061243 second(s), 20 queries .

Powered by Discuz! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表