|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
3 F+ N0 g H+ d- DA:# web9 [# X% l/ b$ A: u2 |6 J% F4 X
# 用DNAT作端口映射8 ]' l- E8 Y" F; J7 a. j
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10" s3 S& a1 V- S% ^8 z4 K) ~8 L
# 用SNAT作源地址转换(关键),以使回应包能正确返回
/ r2 `5 B5 f/ O* ~9 c# m- W9 ?iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1/ x) Z0 Q& F O! R! b: r' K! r
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
/ d$ t# T1 t& S/ I7 y; Z# Siptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT9 |8 n# j# x# R# N# L4 }
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
9 X4 g7 s3 }6 H& }8 z: e! V; ?. h9 j+ p! g/ e$ G( o
# ftp
; p) \* @6 Y4 \5 |modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT* X1 x4 }3 E" W" w8 q+ r& v
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
: @7 ^. m& Q6 m) K; E4 e# 用DNAT作端口映射+ g" c# n$ m. x& i4 p
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11& N$ s' d7 d; Z4 v& w! v# c1 w
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT y1 F8 o2 c9 e& s2 a% A U" _$ [
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
# M. y8 X/ i2 U7 I6 L m1 liptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
3 s7 c$ V. u2 liptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT( N. [3 F. B9 p& _0 w% ~1 k3 x
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT/ f7 m! E2 ?% c/ h% z4 Q6 N* ~
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT& o! `- N; X- ^% k+ ]
# 用SNAT作源地址转换(关键),以使回应包能正确返回
0 N( Q$ D6 Q0 e2 j3 Yiptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
& h8 E( l( z- _" G( P9 P0 o- L4 F% y8 j
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:( F! W: ^' r7 s2 v, ^$ Z) v) _
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
6 v- `2 e3 j" h: wiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.102 u" G5 e. N! Q2 g( h- Z2 J- x. P
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1( ~0 W6 F9 w1 V
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:! G( X2 F0 d7 h# H) g, d! E! }# i
1、把REDIRECT语句放到DNAT语句的后面,如下:
' u! M7 d# b" ciptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
; N7 W( a2 P; l$ e7 Y+ iiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31280 y; m, L `( Y* C# M7 M
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
0 t- M% R% m' y5 g" T3 r5 Xiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
( r) y1 i2 x. s |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡