|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?0 m M9 b# b, y! A( l! J
A:# web
$ c4 Q7 P o7 Q" S1 S# B( ^# 用DNAT作端口映射
4 m! u9 y8 Z6 s+ l7 D0 O* G& riptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.105 B i+ f! h8 S. R
# 用SNAT作源地址转换(关键),以使回应包能正确返回
2 I# T2 [7 j1 V: V miptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
& l" Y. k4 z% @0 H# 一些人经常忘了打开FORWARD链的相关端口,特此增加4 C2 I' P5 g% y1 L: P& M& L' \* d
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT4 j. H; @& @, B r H" ?
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT8 i+ g. g) P2 J1 T5 Q4 N9 @2 i; \
( H9 L1 d. L: y- _, @& r& B2 D
# ftp
( s, { b! u5 J( z- ymodprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT. g2 B4 s$ w# ?, V( v0 [: D
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
# H; y- E) _, x$ D `* L1 `, G" q7 |# 用DNAT作端口映射; _3 W( ]; A* f0 x# }. l
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
* ?; T) Z* K% r9 P0 O# q4 Kiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
& H3 r }! o g2 iiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT- E0 I) ?' d6 ]! x l, a. J$ {: B! f
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
+ d' S9 ?$ k6 Z+ g) riptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT7 S5 Q" ] b# B- Z5 t# N N
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT' W. A, q B7 D& {% H5 O+ c
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT; T3 j( c9 M/ A1 r1 @
# 用SNAT作源地址转换(关键),以使回应包能正确返回7 c. D- ?( ~" v5 M
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 1 O7 b, n" ?% e3 a9 m5 l- J: f
1 {8 Q$ W, v. _; h( CQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:- s: r" ?) ~: w4 U
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
! q( ]5 f8 n5 u/ g3 h/ P6 I hiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
- z0 y2 _1 e& _. L/ a: Q B; G' hiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1* ~6 x+ L1 H; B1 B) U1 d1 Q: r
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
3 x! h f9 H" U9 B+ h7 c6 h* b# a1、把REDIRECT语句放到DNAT语句的后面,如下:
4 G2 q' N. `) X8 K2 s7 giptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10# K; V! k4 s( r; A
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31287 B7 a& U- f# \- w" R
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
: N+ p4 q' R- ?; kiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 31285 l1 f+ D; l" m! T, y* o
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡