当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 用iptable完成端口映射

Unix/Linux
FreeBSD下提高MySQL使用效率
Samba简介
linux技巧:清除U盘病毒的方法
Linux技巧:如何在不摧毁Win系统的情况下体验Linux
linux技巧:修改系统22端口的方法
Linux教程:10条秘诀确保Linux桌面安全性
Linux技巧:介绍两种修改22端口的方法
硬盘安装Puppy Linux 4.0中文版全过程
Linux教程:文件系统基础知识
Linux新手入门教程:教你硬盘挂载方法
如何在双系统下卸载Linux系统
Linux教程:通过管理工具自建防火墙
在Linux系统上编译构建谷歌Chromium浏览器
Linux教程:修改文件权限命令chmod的用法
用Ubuntu自带的FTP服务器vsftpd的一些技巧
Linux教程:设置时间与同步的方法(NTP)
Linux的压缩打包方式之tar命令
Linux中广泛使用的防垃圾邮件技术
在Ubuntu系统中如何对文件进行加密传输
Linux系统防火墙的伪装机制抵抗恶意黑客攻击

Unix/Linux 中的 用iptable完成端口映射


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 127 ::
收藏到网摘: n/a

用iptable完成端口映射
问:一局域网192.168.1.0/24,有web和ftp服务器192.168.1.10、192.168.1.11,网关linux,内网eth0,IP为192.168.1.1,外网eth1,IP为a.b.c.d,怎样作NAT能使内外网都能访问公司的服务器? 答:# web # 用DNAT作端口映射 iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 # 用SNAT作源地址转换(关键),以使回应包能正确返回 iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1 # 一些人经常忘了打开FORWARD链的相关端口,特此增加 iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT # ftp modprobe ip_nat_ftp ###加载ip_nat_ftp模块(若没有编译进内核),以使ftp能被正确NAT modprobe ip_conntrack_ftp ###加载ip_conntrack_ftp模块 # 用DNAT作端口映射 iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11 iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT # 用SNAT作源地址转换(关键),以使回应包能正确返回 iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1 问:网络环境如上一问题,还在网关上用squid进行透明代理,也作了SNAT了,为什么内网还是不能访问公司的web服务器?iptables如下: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1 答:问题主要在PREROUTING链中REDIRECT和DNAT的顺序,由于先进行了REDIRECT(重定向),则到第二句DNAT时,端口已变为3128,不匹配第二句的目的端口80,DNAT也就不会执行,不能到达正确的目的地。解决的办法有两个: 1、把REDIRECT语句放到DNAT语句的后面,如下: iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10 iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128 2、在REDIRECT语句中增加匹配目的地址"-d ! a.b.c.d",如下: iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128