|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?1 M \, c! T7 [9 d2 ?. Z
A:# web
9 S- i7 a G0 { A* G1 k; y# 用DNAT作端口映射3 c( |: l$ Z1 v/ G4 w
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
1 h/ q! @- J+ ~0 H4 I/ Z; X. U, p% _# 用SNAT作源地址转换(关键),以使回应包能正确返回
2 {6 a7 {# A! I7 E( l5 n# E8 Hiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
- r! H" K, Q/ C0 m6 @) t; n6 g. f# 一些人经常忘了打开FORWARD链的相关端口,特此增加
$ ~$ Y+ G6 d. c" e, X7 l: C) p- }iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
, J) W5 a1 X- y4 piptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
$ n8 c0 e& |4 F# Y% G
( ^/ Q9 m' C( w, _; Y# ftp [ T, M! q& W6 ^8 ]
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT0 m7 i" C: }+ V4 `& a1 q2 `
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
% Y/ t( \* }" A+ F0 D# 用DNAT作端口映射
1 {# u: M h1 v% Riptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
( S4 X8 {6 s. f+ G" viptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
. @* i6 F# T$ |: _) x% I% miptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
1 @5 y4 r. f* r& eiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
9 D0 {* h; _% S+ S* P. k% L- giptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT1 Z( b, H" i2 f2 X6 _! K
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT: T% F' P' k/ D" O
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT. Y. f3 \ y9 |# W5 `; w
# 用SNAT作源地址转换(关键),以使回应包能正确返回( B$ c* v! {& @# X$ N# Y
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
/ \0 l. _; {4 ?
2 Z+ n4 `' H$ p& N- v1 h" h2 WQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:5 l5 ]" ]3 S3 D" k+ `+ K
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
& D% o5 U( H* B% \, s+ aiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10, Z5 \/ m+ G7 U, v! I0 O0 X+ {
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
/ B, k+ [0 A. t4 f% E+ ^A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
4 k$ l) w) b/ E6 B7 c7 t) s1、把REDIRECT语句放到DNAT语句的后面,如下:! K5 @4 ^7 A0 L" d, X9 G
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
% U% _% F( u* A, }iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
5 [: I! ]' e) |2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
8 a D4 C: a+ L$ ~* y6 uiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128% C2 _8 |. I# R# ~
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡