原帖由 "thinmonkey" 发表:
/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.1
改为
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.3 -p tcp --sport 80 -j SNAT --to 211.162.***.**
原帖由 "lnx" 发表:
那我该怎么使用它?
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.3/24 -j MASQUERADE
这样吗?
好像我理解的MASQUERADE和SNAT不是这样子的
原帖由 "platinum" 发表:
你的目的是什么
你的防火墙,只要有个iptables -t nat -A POSTROUTING -j MASQUERADE就解决了
其他都没用
原帖由 "platinum" 发表:
转发不是FORWARD,要用POSTROUTING和PREROUTING
这样试试
..........
原帖由 "lyking" 发表:
代码:
iptables -t nat -A POSTROUTING -d 192.168.0.3 -p tcp --dport 80 -j SNAT --to 192.168.0.2
我觉得这句应该不是必须的.(如果你的服务器的缺省网关是指向linux网关的话)如果你的mailserver的缺省网?.........
原帖由 "lnx" 发表:
好像有道理,但换成这个后,内部就不能通过它上网(这点我肯定的,刚才测试时,我需要更改网关)
当采用如下代码时
代码:
用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
显示的IP是192.168.0.1
对于内部的机器,感觉是和192.168.0.1通信,既然是在相同的网段,网关如何设置就不重要了.
原帖由 "platinum" 发表:
lyking的话有道理
不过lnx的最后一句话我没明白
用哪个就不行?换成“这个”后,哪个啊?
内部就不能通过他上网,需要更改网关。不可能!
当采用如下代码时
代码:
用/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
显示的IP是192.168.0.1
对于内部的机器,感觉是和192.168.0.1通信,既然是在相同的网段,网关如何设置就不重要了.
用代码:
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
时,一切都正常,mailsrv和测试机器也能上网。
而当采用如下代码时
代码:
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -i ethx -j MASQUERADE
时,mailsrv和测试机器均无法上网,之后将测试机器更改网关后再测试邮件时,邮件收、发正常。(注:mailsrv没更改网关,所以还是不能上网)
原帖由 "platinum" 发表:
回答你的问题
1、这个脚本适用于任何iptables环境,即使原来是DROP也可以
2、MASQUERADE比SNAT更智能,不用写--to x.x.x.x那些东西,它会自动去找GATEWAY
所以……
原帖由 "lnx" 发表:
但我的二个出口都是单独的啊(分开二台机器二个静态IP的)虽然说在同一段内,这会有问题吗?
原帖由 "platinum" 发表:
晕,你把192.168.0.1和192.168.0.2设成同一个网关了?
没必要!
如果那样的话,你这个脚本是在哪做的?如果是在192.168.0.1上做的,那就没什么用了!
原帖由 "lnx" 发表:
没有啊,各自是分开的。
内部所有用户的网关都是192.168.0.1
mailsrv和测试机器的网关才是192.168.0.2
原帖由 "unixli" 发表:
是正常的,因你的mailsrv指定的DNS是公网的,而我的规则没定义从内网到你公网IP的转发。你可以加一个内网进eth0到公网IP的转发规则。或者你直接用192.168.0.3访问你的mailsrv服务器。
你其它从192.168.0.1出口出去?.........
原帖由 "platinum" 发表:
你还是画个图吧
我不知道你说的.2那个到底是MAILSERVER了,还是网关了
也不明白MAILSERVER的网关为什么要设成.2了
1.gif (18.88 KB, 下载次数: 13)
原帖由 "unixli" 发表:
如你192.168.0.1出口用的是硬件防火墙,最好把软件FW去了,直接用它做出口。毕竟公司安全还是比较重要的!
不知你的另一公网出口是不是硬件防火墙?
原帖由 "platinum" 发表:
TO lnx:
1、你的图我没看懂,FW两个都是eth1?
2、GW的eth0和eth1是两个连INTERNET的路由吗?
3、用户访问MAILSERVER,是从哪边进来?
4、你们的FW不连GW吗?那样的话,FW的作用是什么?
5、MAILSERVER从哪出去..........
原帖由 "platinum" 发表:
现在看明白了
看你的网络,你把GW和FW合并不行吗?也不用那么费事了
原帖由 "platinum" 发表:
你的GW配置有问题
CPU states: 0.4% user, 0.6% system, 0.0% nice, 0.4% idle
这个可能吗?3个加起来一共不到1%,你其他99%去哪了?
在网关上
netstat -lnp
然后贴出来看看
原帖由 "platinum" 发表:
只做iptables+squid,没人动,124天后死机过?!
不敢相信!!!
欢迎光临 Chinaunix (http://bbs.chinaunix.net/) | Powered by Discuz! X3.2 |