|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
* w$ ~/ n- ^* a% J7 }A:# web2 O, j; C% W0 `; r" E9 E- f* @( C
# 用DNAT作端口映射
# r1 c# I& u3 Z5 Uiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
+ G" x2 q/ i" U3 v* _" t# 用SNAT作源地址转换(关键),以使回应包能正确返回
9 U J1 A4 e( S& ~; W2 Riptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
. v! |+ P7 S) U# 一些人经常忘了打开FORWARD链的相关端口,特此增加
& D8 W* X5 w5 t& W3 J9 \iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT' \6 ]8 u3 W, b( {* c0 @% d/ V! {
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
3 @; N7 b% d) @: C
+ J% F; k& u% S% l# ftp, Z8 i+ b+ C! |0 L( v/ I$ B
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
- _7 K# E z% kmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块# F; d' |+ C+ s. O9 ?
# 用DNAT作端口映射4 n! G: T* `* z- G4 x6 A
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11 Z4 d1 P& e6 [' N A& z" o
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT+ Y) {2 C: G/ t$ F" w1 u
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT' o J8 B% M" `# `& G
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
: z4 Z( M2 f- `2 _iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
% n; L1 k9 d+ K6 W1 Fiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT$ L1 O2 K; Y9 j$ X1 h- L/ o$ `
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT+ S2 D, s* _" ]3 n
# 用SNAT作源地址转换(关键),以使回应包能正确返回
6 W- R* q5 X0 B4 h8 Aiptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 , Q2 d: w/ f3 E/ @
% l/ W. G" \/ P: v) V9 `
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:; T: d, B( q: [. O$ X$ Q
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128: p2 N0 u3 q+ A3 a: ?
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.105 t, |! k" x: p: L9 U
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1 S! q+ E8 s" K' ^0 u
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:4 L6 v; G/ d4 V% F
1、把REDIRECT语句放到DNAT语句的后面,如下:
/ D+ T& ] B& ]8 D8 \% ]iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
# B s2 l! I, Biptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31284 t2 R+ b, \! m( ^0 \
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
9 C& V* R+ q* M; \% R* p& Biptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
6 D, p i: [$ H& i |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡