|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?5 h! o8 J6 F) S# ]* }2 \8 Q
A:# web2 n0 G$ _8 m* w* b4 e
# 用DNAT作端口映射
1 ?) X/ C7 U* L5 j. K5 |iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
& r7 X& ^1 @, P- A, d& D* K- z# 用SNAT作源地址转换(关键),以使回应包能正确返回
2 Z. P) J9 y7 U: i6 iiptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.13 l! ~) q" G" l2 D8 c
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
4 J% ]2 D) w) f: giptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
7 Y/ }9 O( l0 ciptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
. Q5 X" U. ~$ i% m2 g( h( C6 d7 m
. a9 h/ a2 R# l0 ^% J( ^# ftp' ]+ S9 Q6 r* M% x3 Q+ F
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
" V- y4 u0 }, Q% y& Z5 cmodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
/ t& @, E3 o |& y% _# 用DNAT作端口映射
4 I7 F4 \. W4 Q. @8 eiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.111 h) z2 G0 `: R# G% i
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT3 H% m" U; |: D( ^5 t
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT/ M2 G/ o. c2 y% A; u9 v
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT$ O: Q3 G8 d/ t5 `( [# q- A
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
) k! ~4 ] Y7 W; H3 Y. Riptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
/ |9 P3 `0 a% q$ F3 ?iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
' {1 g" U/ @) w# ~& B: F2 P# 用SNAT作源地址转换(关键),以使回应包能正确返回
$ ~4 H& h7 {- \iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
/ V' i }# }! l) B" L
2 N, t/ y5 Q/ v$ I3 g4 EQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:5 D, D" A. s# M; |& r8 v/ d3 X
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
0 ~) k! ~, s" R& C2 G4 }iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10& T+ r" f& Z% Q* v( Z7 g6 @, i
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1/ c# w9 {4 p M
A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:: ]) K% @# k3 y# L2 x1 e
1、把REDIRECT语句放到DNAT语句的后面,如下:4 S: q' s( t( S* \7 Y, c
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
$ r7 l& e3 P+ E# `% y1 l3 n6 ?iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128; Q# f, d; \* S9 o. |
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
( V3 B0 |# E0 \# Qiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
& X+ D/ G) p" F+ v' W |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡