|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
3 _$ ?) q2 G f7 t2 g5 U9 ^5 y4 Z1 UA:# web/ B5 y+ L5 c8 z0 v# _1 C% X
# 用DNAT作端口映射
2 {# H# o1 I& ~" m. L. }' iiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
; c2 [( j% h* A" A# 用SNAT作源地址转换(关键),以使回应包能正确返回8 `, e9 A; w$ e# F- G
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1$ p C. h2 Z, h' F7 _
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
' s& f, U5 h6 Riptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT3 [* W, O% x( f4 W
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
! x6 d" E# j9 K+ j( w7 V, e0 |6 y. w: _; k$ ~ y
# ftp
0 R) `- z6 E5 m2 [modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT( g7 [7 \9 d9 s! D6 j+ F0 L, p e
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块9 [8 [- `7 G, O4 h$ t2 U; J, r
# 用DNAT作端口映射
: C8 z, m& K4 Eiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
* A( B5 j4 R3 Hiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
' J5 g; e% E# Q' ]: q$ Jiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT6 n" [9 @1 {8 r6 u9 D/ a- @) [
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
) f, c3 ^# g) U" g& }7 i' Q/ @iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT6 }! g0 J2 Y- d9 L, c5 J: U; S
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
- Z; Q1 \; L/ E& p; Y! d. Q3 uiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
9 f; h/ e1 D+ v* `; m4 o& b# 用SNAT作源地址转换(关键),以使回应包能正确返回0 Q" Z8 m0 s5 t2 H9 b+ O
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
2 x6 _ }. l% l
9 v' O. p; V) y4 W# ~2 z" iQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:+ u0 ]$ ^4 c g z3 o( W
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
% q6 Q4 m/ K2 l+ m0 R3 liptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
! P2 ~8 s# t6 Z) i6 V- e* jiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1( I& a) b) C6 B# W: H3 _! ~
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:- c3 n% ]; g4 {% U
1、把REDIRECT语句放到DNAT语句的后面,如下:# w0 ]5 c6 W8 U. ~, o% G6 k
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
( J' L9 ^6 W+ q0 O0 q' s7 ciptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128/ Y* W* C1 q; L) G! x
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:7 ~' v5 g# O$ K- e ~, W, v6 P8 ?& g
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
% |8 S3 h" t% q5 p- { |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡