|
|
Q:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器?
: w+ R$ W4 V! U4 H1 C; F3 G3 eA:# web6 D9 ? j+ n: e0 V X( b& O
# 用DNAT作端口映射% g/ I9 I6 N- F$ {
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
2 I7 Q5 X' Y+ g0 W% t# 用SNAT作源地址转换(关键),以使回应包能正确返回
6 Q4 j9 V& i& S0 biptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
o- m$ y, o% i5 N; ^9 w# 一些人经常忘了打开FORWARD链的相关端口,特此增加' O0 C5 O& Z8 V5 A
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
2 X) ]6 g N7 @. ^6 F0 w$ Yiptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT
" }3 ^6 A! E c T' F$ r1 w- r5 b3 F5 d( _1 h
# ftp
0 y2 @, u* ?$ t) i q( N( jmodprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT# @8 H* V y$ j% M
modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块8 |8 F' z* F) ^$ I
# 用DNAT作端口映射& p. T7 E! k% [( w
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
6 \4 ]- _& l: Z7 K3 A5 {iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT U/ w6 x* [/ ?+ w3 o
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
. M8 a2 P2 X) u0 W4 x Q, e! Jiptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
6 X& n# B7 c9 M! F# W& S' |* siptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT& U( i0 h8 x% \
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT" n) J( {8 e2 Z7 R; A' r# a' c2 E) o
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
7 V4 a2 N* Y7 o& L# W# 用SNAT作源地址转换(关键),以使回应包能正确返回
. |% l' v5 o" {; Liptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1
/ [3 ~* ?3 D7 t, k! n/ }
6 }8 g. e6 n7 Z, b& b8 yQ:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下:
6 a/ c5 [" ~: @6 aiptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
& O, D! k( e9 K, V, L( j, Viptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 _! i1 o4 d0 j5 \" }8 @- k7 j- {
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
# v) o: G- {5 M, x- j6 E; K: ?A:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个:" T' h( }+ l! e+ T# b) b- ^* C
1、把REDIRECT语句放到DNAT语句的后面,如下:( n& K$ `, P) x
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
" U: g0 o4 N- w) o s- niptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
: f: Z2 B; S8 ]' }) V _- _# b2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下:! [$ \8 k r% _5 V5 F5 x" w) P
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
v& m2 m; b: _4 m$ H |
|
|Archiver|手机版|小黑屋|第一站论坛
( 蜀ICP备06004864号-6 )
窥视卡
雷达卡
发表于 2013-1-27 21:04:48
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡