|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
8 X* E- e. N0 i2 f# M4 h6 _$ X: iA:# web2 A' h9 j* U( y$ N" I
# 用DNAT作端口映射4 G, [# s d" K8 [) N [2 x( K* v
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.109 _" U' {( ]' T
# 用SNAT作源地址转换(关键),以使回应包能正确返回2 }/ {/ n# _4 x' Q" h, b* y
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.19 l$ E6 r: g! }$ X
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
# E H5 z7 ~1 I, D; A- d! ?iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
2 I, s( _ V1 v0 ]& Miptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT( v0 Z0 e9 ?/ g! D, N% K/ h& u
. [3 F2 ^; s- C5 Q5 P: j+ V# ftp0 `2 D+ i6 E9 Z6 _2 w8 V2 t
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT2 V @6 |! v' O' C8 Q
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
# l5 W9 Z" q7 N2 l0 p# 用DNAT作端口映射
( E3 Y2 g3 M* d2 Biptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.118 _7 T E1 c! b V4 b
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT. \5 L) t6 Z% S0 P
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
/ b% {7 h K0 yiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT4 J( D3 n* N/ P: n5 {2 v, s. T
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT) y% @' [2 z8 Q( O" s, G1 X
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
v& w" H# W% J- S' \4 M. [( Xiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT7 ?. X% J3 t, d" y# z
# 用SNAT作源地址转换(关键),以使回应包能正确返回1 i, I1 ?% `" X. ~, h
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
3 F4 o# {$ B2 M: o I# I; ]# K- m; K+ s' S% b( [
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:/ N; ?& w M1 Y- F
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
5 U9 U# D! |. x5 U- q+ f Hiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
4 W# i- `1 C# x1 u) D" I2 Yiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1" X- m9 W) c0 g: a% K. X6 n
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
) S/ @2 B) h& S k. C$ ? W1、把REDIRECT语句放到DNAT语句的后面,如下:
8 S9 @7 ^5 r* z0 O- Q6 l: {3 s6 Q# Hiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10* l2 C; n1 ]5 u( Z
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128' Z+ m" @2 U( \8 v
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
5 S, F7 t" x3 g& [5 tiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128( o/ k# Y8 l: O
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡