|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
1 e, K7 G& d* t5 ^A:# web) ^) t1 r5 o6 }
# 用DNAT作端口映射: Y, j4 K7 ?. p: b9 U
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10+ i8 u1 I- i8 _# e$ p/ X, O
# 用SNAT作源地址转换(关键),以使回应包能正确返回
8 ?/ c4 M- L$ ]& R% ^' Giptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
: Q5 g$ h" p% |4 C# 一些人经常忘了打开FORWARD链的相关端口,特此增加
d4 M. R" W/ j2 X0 G1 s5 N6 Aiptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
, H: g- e% A b/ Z4 miptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
/ D3 N ~' j6 J( K4 h4 F8 L) [3 v! P6 A8 h4 w; n
# ftp$ W' v" d# N' _* v6 B! Y
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
, c4 s4 w% I+ H$ d0 o6 V. M. Fmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
* f2 N7 c9 s2 ~5 ^/ H# v# 用DNAT作端口映射
1 w$ v8 X) U! b/ ]$ E5 S/ niptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11# q) \! D2 _$ b3 W1 Z' j) s: z
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
/ k- b7 |* C9 d( L$ h( n/ Biptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
0 P! e) r! L8 a0 I4 diptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT5 v, S$ `7 R2 R5 P4 [" k
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT7 a: r5 g0 j; e* x, y' e5 q
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT h: u# z& G# d9 g
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
& c& H4 F( `( u' Q+ x8 A# 用SNAT作源地址转换(关键),以使回应包能正确返回
$ m; a g% ]( U$ Q6 B/ A5 u |9 Riptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 $ m& J! o4 w' Z7 K3 ~8 `! h
. o6 M5 m% {8 c8 t- w0 ?5 [
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
5 D! g# E9 u: r% i3 Q% Jiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
( ], K9 I* X5 x- L+ f$ i( v4 Ciptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10, @+ Y& \6 d) `
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.14 l; g3 d4 q9 F# \- q
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:. t# y/ h# N1 ?( y5 P& c3 y6 u
1、把REDIRECT语句放到DNAT语句的后面,如下:# z/ ~- L0 O% H4 |8 P) P, `3 G
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
2 j( L- z) S$ niptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
" U) s6 Y6 ^; {- W! y) L/ a2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:3 ~+ O, L6 |* i7 V$ H2 R
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 31288 j2 _6 F6 K( {
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡