当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 用iptable完成端口映射

Unix/Linux
Linux系统上把PHP编译进Apache静态内核
Linux操作系统下的多线程编程详细解析
高手进阶 Linux系统中内核定时器的应用
Linux内核初始化及启动之用户模式开始
Linux系统核心源程序文件组织结构介绍
Linux的内核软中断(softirq)执行分析
嵌入式 用户图形接口uC/GUI的简单分析
教你用APF和BFD来加强Linux的防火墙
铲除病毒攻击两大威胁 走近Linux防护
使用SSL 保护VNC应用程序
Linux与Unix二大操作系统编程的安全
为Linux服务器部署高效防毒软件
通过LoadRunner监控Linux的资源状况
Linux操作系统安全管理十大招数介绍
黑客高级技巧 Linux后门技术及实践
提高Linux操作系统安全性的十大招数
开发 Linux系统下的磁盘加密方法详解
用 coLinux 进行虚拟化
做好防范 Linux系统下的攻击软件全接触
Linux操作系统的口令安全问题详细解析

Unix/Linux 中的 用iptable完成端口映射


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 137 ::
收藏到网摘: n/a

用iptable完成端口映射
问:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器? 答:# web # 用DNAT作端口映射 iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 # 用SNAT作源地址转换(关键),以使回应包能正确返回 iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1 # 一些人经常忘了打开FORWARD链的相关端口,特此增加 iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT # ftp modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块 # 用DNAT作端口映射 iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11 iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT # 用SNAT作源地址转换(关键),以使回应包能正确返回 iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 问:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1 答:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个: 1、把REDIRECT语句放到DNAT语句的后面,如下: iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128