|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
8 U+ k3 o3 e7 x1 ?2 l% x& I9 e" JA:# web8 b$ y8 y" L/ E( |
# 用DNAT作端口映射9 h; D0 S/ i. \$ d
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
8 A" D) \* T- d! y) `1 y# 用SNAT作源地址转换(关键),以使回应包能正确返回- E# |7 P7 h' `$ ^. [
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
2 u( R+ Z! v8 z" }2 |$ @# 一些人经常忘了打开FORWARD链的相关端口,特此增加
( {, M N7 w" J. D; |iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT5 |; Q, b/ F; S5 O2 T
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT3 f, C+ ^3 a: S2 }
7 k0 s& b, S0 }6 \# ftp
. E* `4 t- R `% U+ @modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
) v8 F4 G' |2 }2 o0 y: q6 [; Dmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块7 G. B" h- l# X7 m5 Q
# 用DNAT作端口映射8 q- G. Y+ p7 A! H
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11/ R) L5 u/ c/ n$ Q1 i2 H1 m8 [( S
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT* j9 }# P* T3 [* Z
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT/ [! K! R; W) d
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
: p8 n' `- u: l- |iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT( `: Q# K5 X( s3 k7 g a
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
& ~, U; U6 p' V; Z& G& X5 H$ Oiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
4 R& O5 h8 b, C6 a0 K4 H- @# 用SNAT作源地址转换(关键),以使回应包能正确返回 F9 `. k1 D/ O( ]: f. I2 {
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
& {2 m6 S; s/ n |6 t9 c: R( c+ {
7 v: @( K7 K9 h" SQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
9 m! C- \2 p: a: z# f4 [iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31285 H6 c+ P4 z7 Z4 C% ~+ H
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.103 Q1 K4 F0 D. }7 H
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
- E% i( m5 N" l5 q5 R- ?! M0 \) b1 @8 ~A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
- p7 K- X: T# w) b; p! E9 A' m1、把REDIRECT语句放到DNAT语句的后面,如下:
' `$ J: o. t! d3 X& r( q* liptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.104 B% Q$ G6 ]* {7 ~5 R7 @: E2 P
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128' w/ ^8 s: p; y, }- h* _
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
' l; x; }. ~7 s( R8 D+ w& diptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
. v( ~7 R( u% P9 [$ c1 j |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡