|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?1 S) Z* ~" z, I4 X; K% N6 g
A:# web
8 }0 E/ i% g8 Z) B; R# 用DNAT作端口映射
1 q" y* E6 n& C& d! giptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10- \2 p- N! F8 T0 a: \) C
# 用SNAT作源地址转换(关键),以使回应包能正确返回
3 C2 I1 D1 e3 T; F$ u q: \iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1! o3 Y: ]. Q& y9 R1 `
# 一些人经常忘了打开FORWARD链的相关端口,特此增加$ p# M( J, R7 d! f1 ^( R& C* U
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT. {! Q9 ^/ B& k0 ?0 u
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT, ~! B0 d& l% p5 {
7 G3 o4 ]- {* a( b; T! ?5 }4 m# ftp
5 d' t5 Z/ C6 R' i9 N1 Fmodprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
* q: Y1 @2 P( O) f) u6 pmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
1 [8 }9 ^5 ^) n# 用DNAT作端口映射
, H% |7 K3 d( K3 d* giptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
. C0 ]% d2 O! U& w5 Miptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT/ W. Q u( w4 g1 f8 d4 f+ x0 l
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT( U* Z2 V- i+ {4 F9 q6 u2 M0 F
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT* n) x Y) p. [1 V' Q
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
/ w! M7 e2 J" X6 C/ z( Wiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT0 H! [2 R' Q) p/ w
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT7 H/ y* b. f# p/ g# V
# 用SNAT作源地址转换(关键),以使回应包能正确返回( u2 T0 A% ^5 f
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 % L; R' ]9 v8 h
/ L4 [9 T5 K0 z5 e0 {5 l. LQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
* p+ X; s. O7 _' ]$ Riptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
; ]5 W" B3 \8 q" ciptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.109 R7 S; ]! Z, n0 F3 p" x
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1' s% A+ J1 L$ A
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
( P' I" E( ~% A; a* h0 o1、把REDIRECT语句放到DNAT语句的后面,如下:
4 \/ ]4 [3 `" m, A8 b) G6 Hiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
" V3 v* m' @' F% Fiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128+ |$ x. R! ^& Y2 W! V5 n" {4 H; I! l
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
: J7 }" P: W* P# s6 ?iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128. B( `* B1 K, V: \! M) B4 {3 a
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡