|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?2 i5 w9 N& Q* T
A:# web
& V' U0 h! |4 Z/ P( a# 用DNAT作端口映射' n' ^5 D3 b: ]6 n. H
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10; y5 G1 K. V$ [# r0 R2 J1 v
# 用SNAT作源地址转换(关键),以使回应包能正确返回7 \4 c8 n* ^' m B+ u
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
5 h/ V7 n, x( ?7 Z: T2 i# 一些人经常忘了打开FORWARD链的相关端口,特此增加
0 Y$ H& n. M7 l4 T, a$ e+ Siptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
3 a' m9 \3 O% ]; @: o0 h1 aiptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT4 T" o9 r1 z+ e1 k% W, B5 h
$ i6 ?9 c9 F/ z# D3 H0 k
# ftp/ H. c- y6 c* Y# K1 v
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT1 }0 z1 }7 N4 H1 H
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
. b. ?5 h8 {9 \: c0 }. `! F4 e! z# 用DNAT作端口映射
9 I; i# s/ G& z7 t5 ~% giptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11( g9 h4 r. c2 N- j; _) D( P9 @
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
0 ~! _8 Z+ ~! U$ ^' S) w" j# l3 Jiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
3 S7 ~+ a% s5 i$ E A Xiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT( U% m1 i& w( y+ a% @8 Y
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
7 E. `& x6 O5 Wiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
C% V+ b3 l. q, k# U; fiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
0 @& x2 }! n/ M3 R# D# 用SNAT作源地址转换(关键),以使回应包能正确返回# U/ M( v- s$ \$ H
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
0 F6 d) C) t" T$ P% U, e; k3 e7 L: h# v6 e% \9 d! V2 C
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
$ Z; z8 ]( \# b' M1 j8 q3 Fiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 31289 R! {5 u; ]9 f$ D, M6 n
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10+ a* v% j% t1 }8 `5 }
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1! K) I" [- X. i- H
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:
! q0 @+ i2 o- a+ o1、把REDIRECT语句放到DNAT语句的后面,如下:
+ p( g4 Z! }6 l. e0 _iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
: ]" \( V; C/ R" o. u+ o$ Yiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
/ V# J0 C6 G5 @% I3 c2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:; P6 N8 t5 }( ?2 m1 |
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
7 @$ z8 t! D8 ?1 H/ `. Y |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡