|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?8 o |) f' Z8 c# g! r& m
A:# web
. G6 [# e: [7 e8 i# 用DNAT作端口映射
5 n- m. r2 ]" W t* f6 @iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
2 S N$ \+ O$ b( X1 `# 用SNAT作源地址转换(关键),以使回应包能正确返回
F; i5 I; x, o* z, [7 F4 M& Ciptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.12 \$ T, U% W8 j+ a- G( J
# 一些人经常忘了打开FORWARD链的相关端口,特此增加0 S; @; e- Z6 U2 {9 |4 ?
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
% W5 R# p+ Z5 Y& g/ ]' `1 o: }/ fiptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT: [2 J/ ^; O9 u9 w+ j. o
2 L. ?4 p# R3 Z3 J7 I2 n# ftp R- A. O2 w3 ~! D2 v( m4 v
modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
) X9 r/ k- |4 O/ f) Q8 Umodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
. e. Y6 S0 b6 Y& u1 a; n1 i# 用DNAT作端口映射
6 t0 U: T. J/ a; x' siptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
8 y" x( M _7 a" j# ]iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT2 Y) \# J9 P6 `7 g- J/ w% X& @
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
9 r# P. I! {' u4 N' z6 h$ \8 N; Niptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
2 L& X U1 N5 m" jiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT# j# E9 l& ^ g
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
( N! O5 ]% ^3 giptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT& G a3 [" D/ }; E7 I6 [
# 用SNAT作源地址转换(关键),以使回应包能正确返回
/ M3 J1 m* l% |$ f" uiptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 9 M& l! }7 J- h Q1 g3 M! |4 X( [5 H
" Q: }6 v' c9 t& ~& g7 J9 QQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:! K4 K" l4 C8 I* {
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
; M) S8 `# T" o, ^iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
" |1 [; ?! W( j/ N1 @+ C: w! U8 c% Miptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
2 d! W2 q1 g' l: Q5 iA:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:3 }+ K8 P% T/ ?9 i) B. o4 [; d/ H
1、把REDIRECT语句放到DNAT语句的后面,如下:
) k8 d$ H* |4 Viptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.108 C7 q0 M5 q, j/ t! B( K
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
3 H2 I' V6 u# i, K5 Y2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
$ H% J4 n/ e* i$ eiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
) y7 J1 E4 z3 p) Y- L4 U |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡