|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
: }' m) M. G: o4 XA:# web
1 P( Z# n( R4 {# 用DNAT作端口映射3 m% f1 O! S0 z9 `- w) d
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.109 U8 G/ k" w' g# o& h
# 用SNAT作源地址转换(关键),以使回应包能正确返回; Q6 o/ R0 ~; k
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.13 o+ W% U9 V% X
# 一些人经常忘了打开FORWARD链的相关端口,特此增加
2 _+ s! t' Z# E2 e" riptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT8 V) d" y# N" @6 [+ x8 W( G* M
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT6 y' n' b0 ^0 J! z! D& [
& T* y# C$ a' l) Z
# ftp
- T& G4 \0 s: c: l p, |modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT
! p* D ]* N3 M0 Ymodprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块
1 F6 n! N2 X1 E6 b% W, q- l# 用DNAT作端口映射" k( S$ u- ]) }: m! `8 Z6 ?
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
0 M3 e3 b9 V! u5 Siptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
" ?2 H X' H Q0 o8 Y9 ^iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
6 L; c: T# b. L0 K/ i% |iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT7 b6 D: o O' i2 @' M
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
+ x0 r) }; D/ Y( d1 C, n: Hiptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
( b' W9 A6 l3 U0 b- H( Aiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT1 a* z- _; f; T7 d
# 用SNAT作源地址转换(关键),以使回应包能正确返回
! N+ z5 ]% \: {/ riptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
) s$ z/ d" x/ B4 X1 m( j2 u( _8 n# w* K4 V
Q:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
6 W, M, g+ B0 Q- A7 Biptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
& @' d% ?* F' B: j `2 g* yiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10+ w' U, h1 n% T1 M- P
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
" G, K6 J( b3 d# ]& D5 |A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:0 d! u$ v2 V5 b9 e# ? k# D
1、把REDIRECT语句放到DNAT语句的后面,如下:
( Y6 g3 B( U9 K' f: t3 f, h$ Xiptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10: f! p4 R9 {' @" G& v
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 N4 s8 p% T1 V# e8 F
2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:
5 A: D0 t X' ~6 J1 z- xiptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128' Z g, U. s5 | z
|
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡