|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
1 g, O, G! u. q& s" u( W& KA:# web: F$ O, Q* d: |% e" [, a- r5 t
# 用DNAT作端口映射. _( Q9 w+ U9 p0 n9 R4 R
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.107 w+ E7 S) a& S$ f9 z. k" h: u
# 用SNAT作源地址转换(关键),以使回应包能正确返回
8 I( U8 O% Y# ?) Giptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
( o7 d& r9 n5 ?# ^, l) X, h Y! Y# 一些人经常忘了打开FORWARD链的相关端口,特此增加
' n/ Q4 O- W; ^5 D& y& O" xiptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT# h1 [3 G5 t) x/ s" o; K- `
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
' k% n s0 ^( p% t
0 @7 a1 N" w1 m. w& b1 N9 w( d# ftp6 N) W5 c) P) {( ?
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
7 ~; y1 R& N: d* R* m' o0 @modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
2 ~6 b9 B; y% }6 t4 ?# 用DNAT作端口映射
& q1 m) s$ g# i: k/ \iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11% P' k: E Z* y# I6 M
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT6 |2 N0 K9 {" `$ e1 C8 q3 \& H
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
# @5 k2 ]6 G Z( @( siptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT" O$ r) A1 v+ X. ~8 Y7 \
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT7 D9 g* m6 W r& b M
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT7 Z$ ]; P+ a( y1 @! s( R
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
! L; P+ E0 n! C$ }; q+ J- r f( z# 用SNAT作源地址转换(关键),以使回应包能正确返回) t5 F8 e% c2 r& ]
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
% f4 \2 c0 y5 }! U# W6 W0 {" t8 r. w6 a8 c; Y9 o0 {
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:/ q' g7 u5 a9 s! m0 b, v
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128' X/ Q6 q* f8 K2 q, u* J0 V
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.100 u5 t# w& A7 }& O8 t, Q5 ~
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1: m% G% b, M3 O# e3 e5 w
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
8 z8 S, B. c. H% k1、把REDIRECT语句放到DNAT语句的后面,如下:# ~/ u0 s! q! f& p' Q! V( W
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10. Z% a& R# E1 w. }' d% t2 r
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
7 A# o; ^! M: o% f* y$ T2 x9 y2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
/ s) A7 h K# _ C+ liptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128- H9 B. W1 C2 a8 D$ H
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡