|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
2 t- _, N8 p* \9 L& Y; U: M+ oA:# web
; f; D- ]5 O) s+ G% z# d5 e# 用DNAT作端口映射
& w8 T! p% t" Ziptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
. Z7 t! g& m4 S2 Q0 J. V# 用SNAT作源地址转换(关键),以使回应包能正确返回
* a. q8 Y# O% J* F/ {& tiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
7 Y: b3 v" p9 b3 R6 T f# 一些人经常忘了打开FORWARD链的相关端口,特此增加2 a- Y& H' p% [ C- _ r/ {, H
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
\! q' B3 o/ uiptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
" n$ P5 b# B2 o9 v# |
# ]* }4 O# a |3 X# ftp+ w! [8 [$ E% n# Y
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
; Z- f2 u- D2 J6 w; l* Ymodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块0 W3 Y4 O# x' D" S1 e$ H/ b
# 用DNAT作端口映射) T4 T$ v3 s" j( [, S5 e0 ?
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
v7 b! ^) }$ D' Kiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT1 @4 w: ?# l0 ?5 f- Z/ ^
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT8 k6 C- j4 D" ]8 |3 P
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT( }; W7 g) l' A( {. i f$ n6 a. `
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT6 x+ z. d# L6 ]3 N1 l0 Y
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
0 o+ S+ z4 b, d) @" a% R: ziptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT4 {9 w& O# |& u& h) I p0 |
# 用SNAT作源地址转换(关键),以使回应包能正确返回
# j# I6 D( r; r; x6 F1 Uiptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 3 O8 P) ?1 p) L1 P9 L- a
_7 B. t2 n( d. L
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
- \& F; z$ x1 ]0 wiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
j: G% B5 F, @/ X/ }* I, y% Y3 biptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10, P$ J( t2 e6 A0 D( ^
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
H; S" O0 e }; VA:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:' }, H; ~ u0 Z& i% l2 h
1、把REDIRECT语句放到DNAT语句的后面,如下:; R2 q7 B( O6 {; n$ R* i
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.106 S9 o$ ^3 k# @/ v
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31286 G& I& X% ~$ m2 J+ O/ y
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:( T5 }: U2 v T+ E3 n0 r l9 g
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 31280 @2 H. W$ h4 |- F3 N- C
|
|