|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
' t9 y D- }' F$ {6 aA:# web
7 Q+ f6 X9 H9 E L3 h# 用DNAT作端口映射
! x1 y$ c* Z- _ G, x1 v* f2 E: O& |iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10- d k8 ?: S( p7 n
# 用SNAT作源地址转换(关键),以使回应包能正确返回
7 H4 [ P" V* B7 |8 O& X C9 ^iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
. P! q/ V: a" R# 一些人经常忘了打开FORWARD链的相关端口,特此增加
( |5 |. G. f/ v! h* siptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT0 B) G! t0 \+ _" g/ Y1 c
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
6 M+ e( y3 m9 y& l5 ]
. L' P$ J( _4 F! h7 {- P4 j0 l# ftp
' |" j! D/ y* Rmodprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT: k( B! y) [$ ~2 O" q4 b$ g1 E
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
4 L& z* v I$ s# 用DNAT作端口映射
% \. U3 L8 }4 N9 Jiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11+ U' H k/ ]( E4 \
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
% r* I6 f) u' h# Q6 E* m5 ?iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
7 T) Y A7 s D9 uiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT. E4 v4 w% i- C! q" H% N( O
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT) g! `6 f9 P- q6 L; {
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT2 W: |. f) I6 X* }5 P, n! b
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
2 e: u. p# D! Z6 x# 用SNAT作源地址转换(关键),以使回应包能正确返回7 Z, n. \5 Z% M F# J0 u) Y$ K
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 6 [4 c0 R3 P4 j( W8 Q
1 s8 M# \. y$ t/ V1 U- ^$ [Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
: }4 b; g: h+ F1 E8 J, E- piptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31289 o4 u" V+ n4 }- @2 M/ [
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
) ?' d/ _& b1 l+ B/ ? siptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
8 r' s) S5 a+ v' a+ kA:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:# A9 C/ u/ m( d6 y% s
1、把REDIRECT语句放到DNAT语句的后面,如下: a' a0 {9 u5 y! P( h! W: g$ |
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
4 U) y _- I/ Fiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
' C3 }) L- u! h2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
. t- v0 {7 O7 _" I; jiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
3 ]1 _& W& M8 v5 ] |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡