郁悶了，越來越蠢了，問個SNAT的問題 ｛已解決｝

skylove

原帖由 platinum 于 2006-3-2 13:24 发表

和我 9 楼写的有什么区别？

我现在开始觉得问题不出在dnat和snat语句了。 我刚才试着做了一下，在我内网里dnat/snat 2句就ok的。。。 我想可能楼主得检查一下其他位置了。。。。或者语句的范围指定有无错误

q1208c

原帖由 platinum 于 2006-3-2 13:24 发表

和我 9 楼写的有什么区别？

不知道. 因为我没看你写的.

不过. 能不能用我也不知道. 因为, 我还在老家, 没法试.

platinum

原帖由 skylove 于 2006-3-2 13:27 发表


我现在开始觉得问题不出在dnat和snat语句了。 我刚才试着做了一下，在我内网里dnat/snat 2句就ok的。。。 我想可能楼主得检查一下其他位置了。。。。或者语句的范围指定有无错误

我从 19 楼开始就已经这么觉得了，所以后面开始说“应用层”和“网络层”的话

skylove

-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.0.3:8080
-A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.0.1 --dport 8000 -j DNAT --to-destination 192.168.0.3:8080
-A POSTROUTING -o eth0 -p tcp -m tcp -s 192.168.0.0/255.255.254.0 -d 192.168.0.3 --dport 8080 -j SNAT --to 192.168.0.1
-A POSTROUTING -o ppp0 -s 192.168.0.0/255.255.254.0 -d ! 192.168.0.0/255.255.254.0 -j MASQUERADE

你用这4句替换你原来的那3句。。。 再不行俺就觉得是其他地方问题了。。。。

[ 本帖最后由 skylove 于 2006-3-2 13:57 编辑 ]

枫影谁用了

原帖由 skylove 于 2006-3-2 13:13 发表



最后一问，你内网的dns是指的哪个地址？ gw的外网ip么？ 如果是的话问题就简单了

btw，我倒觉得记忆多一个dns名字，比记忆什么8080口要简单多了，至少在浏览器里输入的时候不用打http:// 了

内网的DNS是192.168.0.1,域名的指向.

GW不是外网IP

你说的不用输:http:// 我也很想。

枫影谁用了

原帖由 skylove 于 2006-3-2 13:50 发表
-A PREROUTING -i ppp0 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.0.3:8080
-A PREROUTING -i eth0 -p tcp -m tcp -d 192.168.0.1 --dport 8000 - ...

差得不遠了。嘻嘻。我再寫幾個試試。

[root@yushin-cn samba]# iptables-save -c
# Generated by iptables-save v1.3.5 on Thu Mar  2 15:45:18 2006
*mangle
REROUTING ACCEPT [953420:447390729]
:INPUT ACCEPT [328500:100780849]
:FORWARD ACCEPT [624821:346601753]
:OUTPUT ACCEPT [358137:243603443]
OSTROUTING ACCEPT [972807:586997427]
COMMIT
# Completed on Thu Mar  2 15:45:18 2006
# Generated by iptables-save v1.3.5 on Thu Mar  2 15:45:18 2006
*nat
REROUTING ACCEPT [59816:5269238]
OSTROUTING ACCEPT [18076:777583]
:OUTPUT ACCEPT [17981:771970]
[3:168] -A PREROUTING -i ppp0 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.0.3:8080
[5571:352247] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -o ppp0 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o ppp0 -j MASQUERADE
[0:0] -A POSTROUTING -s 192.168.0.0/255.255.254.0 -d 192.168.0.3 -o eth0 -p tcp -m tcp --dport 8080 -j SNAT --to-source 192.168.0.1
COMMIT
# Completed on Thu Mar  2 15:45:18 2006
# Generated by iptables-save v1.3.5 on Thu Mar  2 15:45:18 2006
*filter
:INPUT DROP [5681:1178743]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [358195:243609455]
:syn-flood - [0:0]
[3603:227359] -A INPUT -s 192.168.0.50 -j ACCEPT
[39050:25063171] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[749:36220] -A INPUT -p tcp -m multiport --dports 110,80,25,22 -j ACCEPT
[24:1152] -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 139 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
[754:48197] -A INPUT -i eth0 -p udp -m multiport --dports 53 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
[0:0] -A INPUT -p gre -j ACCEPT
[0:0] -A INPUT -s 192.186.0.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
[232:16888] -A INPUT -p icmp -m limit --limit 3/sec -j LOG --log-prefix "ICMP packet IN: " --log-level 6
[192:13934] -A INPUT -p icmp -m limit --limit 6/min -j ACCEPT
[1551:45518] -A INPUT -p icmp -j DROP
[1408:74368] -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
[19901:1959948] -A FORWARD -s 192.168.0.50 -j ACCEPT
[0:0] -A FORWARD -m ipp2p --kazaa --edk --bit -j DROP
[0:0] -A FORWARD -p tcp -m ipp2p --ares -j DROP
[0:0] -A FORWARD -p udp -m ipp2p --kazaa -j DROP
[99:108436] -A FORWARD -m string --string "qq.com" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -m string --string "sex.com" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -m string --hex-string "|e889b2e68385e794b5e5bdb1|" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[1668:2371514] -A FORWARD -m string --hex-string "|e680a7|" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -m string --hex-string "|e6bf80e68385e59bbee78987|" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -m string --hex-string "|e68890e4babae794b5e5bdb1|" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[11:15972] -A FORWARD -m string --hex-string "|e794b5e5bdb1|" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[0:0] -A FORWARD -m string --hex-string "|e9bb84e889b2|" --algo bm --to 65535 -j REJECT --reject-with icmp-port-unreachable
[251410:156238314] -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
[1581:75680] -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m time --timestart 12:30 --timestop 13:30 --days Mon,Tue,Wed,Thu,Fri,Sat  -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp -m time --timestart 07:50 --timestop 08:16 --days Mon,Tue,Wed,Thu,Fri,Sat  -j ACCEPT
[3:221] -A FORWARD -s 192.168.0.0/255.255.255.0 -p udp -m udp --dport 53 -j ACCEPT
[50:2392] -A FORWARD -s 192.168.0.45 -p tcp -m mac --mac-source 00:03:47:77:56:E3 -m tcp --dport 80 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.46 -p tcp -m mac --mac-source 00:118:94:BE9 -m tcp --dport 80 -j ACCEPT
[1536:73600] -A FORWARD -s 192.168.0.44 -p tcp -m mac --mac-source 00:0C:6E:ED:22:76 -m tcp --dport 80 -j ACCEPT
[11:528] -A FORWARD -s 192.168.0.3 -m mac --mac-source 00:0C:6E:EC:06:E0 -j ACCEPT
[0:0] -A FORWARD -d 192.168.0.3 -p tcp -m tcp --dport 8000 -j ACCEPT
[3:168] -A FORWARD -d 192.168.0.3 -p tcp -m tcp --dport 8080 -j ACCEPT
[0:0] -A FORWARD -s 192.168.0.0/255.255.255.0 -d 192.168.0.3 -j ACCEPT
[1537:170201] -A FORWARD -s 192.168.0.4 -m mac --mac-source 00:11:6B:24:82:A1 -j ACCEPT
[309:14832] -A FORWARD -s 192.168.0.48 -j ACCEPT
[79:3792] -A FORWARD -s 192.168.0.49 -j ACCEPT
[1832:114449] -A FORWARD -j DROP
[1407:74304] -A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
[1:64] -A syn-flood -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Thu Mar  2 15:45:18 2006
[root@yushin-cn samba]#

枫影谁用了

原帖由 platinum 于 2006-3-2 13:40 发表

我从 19 楼开始就已经这么觉得了，所以后面开始说“应用层”和“网络层”的话

哦。我可以很負責任的說，這個絕對是SNAT的問題，只要加一個SNAT語句即可。因為就在前天都是一直可以用的，因為換了一台服務器，沒有把腳本備份下來。才出了這樣的問題。。:em12::em12::em12::em12:

枫影谁用了

網關/DNS 192.168.0.1
|
|
內網WEB192.168.0.3:8080(內網和外網要通過http://abc.com:8000訪問)
|
|
|
內網192.168.0.0/24

枫影谁用了

原帖由 skylove 于 2006-3-2 13:27 发表


我现在开始觉得问题不出在dnat和snat语句了。 我刚才试着做了一下，在我内网里dnat/snat 2句就ok的。。。 我想可能楼主得检查一下其他位置了。。。。或者语句的范围指定有无错误

是的是的，兩句就OK滴。。。。關鍵是我現在不曉得SNAT要昨寫了。。。。。

枫影谁用了

[1:48] -A PREROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.1 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.0.3:8080



這樣是有配到數據的，可為何就不能訪問呢

實在是想不起來上次的是昨寫的？

[ 本帖最后由 枫影谁用了 于 2006-3-2 16:32 编辑 ]