|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
7 C6 z/ E+ O% Y5 hA:# web4 [* c, b" n" l# S' A7 u4 J8 s
# 用DNAT作端口映射
$ r) L; Y7 A6 w V0 W( _/ {iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
; m4 h) ]; _5 X/ L( X# 用SNAT作源地址转换(关键),以使回应包能正确返回
( y7 r1 Q# \7 \7 V4 F8 L% Biptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
6 Z1 ^: ]1 l( _2 ~1 c/ M# 一些人经常忘了打开FORWARD链的相关端口,特此增加
0 I% z! i9 o' V( N& Hiptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT ?& u7 f* M; O8 q7 L0 n2 B9 t
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
2 R) O" h' ?) Y/ Z
! N) j0 i( F9 ]( C' K; N# ftp
5 }# F. j1 u. q0 S& [2 Xmodprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
* t% }' F% |. X. qmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
: w4 R3 j8 S5 [6 V- q: Q- M# 用DNAT作端口映射# q; F u8 O- m% U a, X
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11! T* A" n! j& Y8 O0 J
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
: \# E+ |! V: T. A3 ?iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
2 P' O1 \: @; R: uiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT9 m& b: F5 [! h% e+ Z
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
' x$ {8 v/ }1 V0 g& c Miptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
' y, f8 ]7 M' l" Iiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT( V0 W2 y; l' y) i7 x
# 用SNAT作源地址转换(关键),以使回应包能正确返回
& D* k: g8 M* m% Z1 z+ jiptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
4 [ M: t) e. A9 a1 i7 J6 X* \& M2 g0 @& f+ c, J
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
% F6 V. q* w! d2 u Diptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
1 h" l7 u5 d% U9 F( R! \% Siptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
# w. P& k- H3 c; @iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1- }/ H5 e, z* \/ B/ {7 I
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
2 Q' w+ Z& p7 ~/ N1、把REDIRECT语句放到DNAT语句的后面,如下:# b+ p& c& {3 [/ k$ w
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10. k' x; \0 s* E' Z5 s# m' |/ d8 x
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
: V% O% |- B$ m2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:; N, a8 ]2 Z( V
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
; B# F3 p, Y: | |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡