Chinaunix

标题: 请教一个IP的NAT问题 [打印本页]
作者: chris_wan    时间: 2007-11-22 18:28
标题: 请教一个IP的NAT问题
内核用的是2.4.X


一个双wan口的路由器,连接wan和pppoe(别笑偶啊,linux断线重拔现在还没搞好,不然也不会用一个拔号设备了)
然后后面是一个linux as 3的Iptables+squid的上网控制.所有客户端网关指向192.168.1.1(eth1),另一块网卡eth2是10.0.0.100,路由器是10.0.0.254



网络结构.

   
WAN-----| 双WAN    |10.0.0.254    |       LINUX=IPTABLES+SQUID                 |
             |----------|-------------|10.0.0.200(eth2)------192.168.1.1(eth1) |------(内网192.168.1.X)
PPOE----|     口路由 |                   |                                                        |





上网,专线,路由,策略负载,流量控制都没问题

linux缺省路由是10.0.0.254


现在在双wan口上显示的都是linux的eth2的IP(10.0.0.200),

问题:

下面红色部怎么搭配,,才能让双wan口的路由器显示是内网eth1进来时的IP?

以下是iptables策略

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# nat
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to 10.0.0.100
# iptables -t nat -A PREROUTING -i eth1 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j REDIRECT --to-port 3128

# input
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp -i eth1 -m multiport --dports 22,161,3128 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 -m multiport --dports 22 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
.
.
.
.
.
此处省略

# forward
iptables -A FORWARD -i lo -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

.
.
.
.
.
此处省略



呵呵,不知这样是否能说明白.

[ 本帖最后由 chris_wan 于 2007-11-22 21:13 编辑 ]
作者: ssffzz1    时间: 2007-11-22 18:36
总体上说还没看明白咋会事。
你发个拓扑图吧!
作者: chris_wan    时间: 2007-11-22 21:18
其实说白了,就是全透明nat,内网出去时不要加上网关的IP,显示内网的IP而已


大体是这样,能指教一二吗?
作者: chris_wan    时间: 2007-11-22 21:30
不会是在eth2上设N多个IP,然后一一对应?,例如

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.2/32 -j SNAT --to 10.0.0.102
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.3/32 -j SNAT --to 10.0.0.103
.
.
.
.
.
内网可有几百台机器呀.呵呵.
作者: chris_wan    时间: 2007-11-23 18:15
看来问题不太重要嘛,呵呵.
作者: ssffzz1    时间: 2007-11-23 18:34
原帖由 chris_wan 于 2007-11-22 21:18 发表
其实说白了,就是全透明nat,内网出去时不要加上网关的IP,显示内网的IP而已


大体是这样,能指教一二吗?


如果LZ只是要求这样的话,不加nat就是这个结果。还有另一个解决方法就是吧LINUX做成网桥。
作者: chris_wan    时间: 2007-12-10 15:55
linux做网桥,这主意不错,有没有这方面的指引,谢谢了.



欢迎光临 Chinaunix (http://bbs.chinaunix.net/) Powered by Discuz! X3.2