|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
* r D* y- X; s- X. h3 OA:# web6 o h1 o+ G3 x6 v2 [- I2 m, r! x
# 用DNAT作端口映射% ~' k; z+ L/ o5 c/ s) ^8 G. [; |
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10! h! J% _) y1 j5 a! ~: p0 Y
# 用SNAT作源地址转换(关键),以使回应包能正确返回
" q' x2 ]; H- C( n+ {& H) a8 u) giptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.11 ~3 k4 _, x, T) w. i0 w, P* ] e
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
# b6 I `8 ?( J- ?8 U# Eiptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
0 N* [: \7 n2 ~0 c; X5 ?iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT4 O8 t% M$ h, b
& X3 Y* F( Q% Q" {9 n- o% w
# ftp7 z. n, M6 y/ t4 _/ a
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT$ n; v, K* q' i4 z3 N0 f" D8 O
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
1 N) Y% c+ y2 |8 F# X' a: y U2 E& H# 用DNAT作端口映射. M" {* k$ u7 i8 e' q" F
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
3 F8 w- }3 R" niptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
9 T( z G' L7 I4 T& \; }! [/ {iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT, x5 ?5 y3 y3 q6 u; X/ A
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
9 R) U* X$ _: V. p; N- jiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT" a3 u& X. _. H) n
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
. ]- f9 {" k3 j* H! ^iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
7 y6 H1 B a! r+ b5 _; S# 用SNAT作源地址转换(关键),以使回应包能正确返回
7 s7 W/ N X2 L: j7 B" D% \iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 ; K& R- W9 e8 |% s2 a
0 x/ U3 r, z% e: U1 O% pQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
- D2 N0 v% W& Q! i1 V( S& _: Tiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128* k% c+ M) L% ]# D: r
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10; Y" f. v5 y, z3 G6 C Y8 k
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
0 o- I6 N' m( l/ E) b5 iA:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
$ m+ u: K2 x% E9 `# K- W8 ^0 ]& K3 ^1、把REDIRECT语句放到DNAT语句的后面,如下:
$ M( o" u1 B- u6 b' k& uiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
1 {* p' w/ W/ [4 Diptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
6 z% w1 v" H3 x& G2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
4 p: _8 g2 N2 Q3 w# [iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
3 B. T- \1 o) M, {0 Y0 G |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡