IPTABLES端口转发的问题~~~

hb_li_520

现在有两台机子，都是公网ip，一个是IP1，一个是IP2，
实现功能:
IP1上接收到访问9090端口的全部转给IP2的9090，
iptables -t nat -A PREROUTING -d IP1 -p tcp --dport 9090 -j DNAT --to IP2:9090

这样不行~~~^0^
:wink: :wink: :wink:

echo '1'>/proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -p tcp --dport 9090 -j ACCEPT
这些都有写~~~

gilet

不行吧，在这俩个ip的网关哪里做应该可以

kentchoi

一个 session 的 source 跟 destination 起了变化了，，，这个思路不对，，除非是 proxy 方式

ssffzz1

IP1 和 IP2 是同一个网段的吗？

hb_li_520

原帖由 ssffzz1 于 2009-12-15 17:41 发表
经过测试可以的：

1、我的测试范例：
*nat
REROUTING ACCEPT [2:136]
OSTROUTING ACCEPT [2:152]
:OUTPUT ACCEPT [1:108]
-A PREROUTING -d 192.168.0.1 -p tcp -m tcp --dport 8023 -j DNAT --to- ...

#ip_forward
#ip_forward
$iptablescom -t nat -P PREROUTING ACCEPT
$iptablescom -t nat -P POSTROUTING ACCEPT
$iptablescom -t nat -P OUTPUT ACCEPT
$iptablescom -A FORWARD -p tcp --dport 9090 -j ACCEPT
$iptablescom -t nat -A PREROUTING -d IP1 -p tcp --dport 9090 -j DNAT --to IP2:9090
$iptablescom -t nat -A POSTROUTING -d IP2-o eth1 -p tcp -m tcp --dport 9090 -j MASQUERADE


还是不行~~~~

ssffzz1

哦。帖IP1的
ifconfig -a
route

然后帖IP2和测试用的PC的抓包结果，

hb_li_520

原帖由 ssffzz1 于 2009-12-16 09:09 发表
哦。帖IP1的
ifconfig -a
route

然后帖IP2和测试用的PC的抓包结果，

ifconfig -a

1. [root@localhost22 ha.d]# ifconfig -a
   
2. eth0      Link encap:Ethernet  HWaddr 00:0D:60:98:08:B8  
   
3.           inet addr:192.168.1.43  Bcast:192.168.1.255  Mask:255.255.255.0
   
4.           inet6 addr: fe80::20d:60ff:fe98:8b8/64 Scope:Link
   
5.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
   
6.           RX packets:1462768 errors:0 dropped:0 overruns:0 frame:0
   
7.           TX packets:1848222 errors:0 dropped:0 overruns:0 carrier:0
   
8.           collisions:0 txqueuelen:1000
   
9.           RX bytes:214781429 (204.8 MiB)  TX bytes:1540262098 (1.4 GiB)
   
10.           Interrupt:185
    
11. 
    
12. eth1      Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
    
13.           inet addr:IP1  Bcast:IP1  Mask:255.255.255.192
    
14.           inet6 addr: fe80::20d:60ff:fe98:8b9/64 Scope:Link
    
15.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
    
16.           RX packets:18203100 errors:0 dropped:0 overruns:0 frame:0
    
17.           TX packets:13159546 errors:0 dropped:0 overruns:0 carrier:0
    
18.           collisions:0 txqueuelen:1000
    
19.           RX bytes:1502009936 (1.3 GiB)  TX bytes:1208528775 (1.1 GiB)
    
20.           Interrupt:193
    
21. 
    
22. eth1:0    Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
    
23.           inet addr:(IP1/26)  Bcast:209.205.109.255  Mask:255.255.255.0
    
24.           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
    
25.           Interrupt:193
    
26. 
    
27. lo        Link encap:Local Loopback  
    
28.           inet addr:127.0.0.1  Mask:255.0.0.0
    
29.           inet6 addr: ::1/128 Scope:Host
    
30.           UP LOOPBACK RUNNING  MTU:16436  Metric:1
    
31.           RX packets:5129770 errors:0 dropped:0 overruns:0 frame:0
    
32.           TX packets:5129770 errors:0 dropped:0 overruns:0 carrier:0
    
33.           collisions:0 txqueuelen:0
    
34.           RX bytes:538247416 (513.3 MiB)  TX bytes:538247416 (513.3 MiB)
    
35. 
    
36. sit0      Link encap:IPv6-in-IPv4  
    
37.           NOARP  MTU:1480  Metric:1
    
38.           RX packets:0 errors:0 dropped:0 overruns:0 frame:0
    
39.           TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
    
40.           collisions:0 txqueuelen:0
    
41.           RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
    

复制代码

ifconfig

1. [root@localhost22 ha.d]# route
   
2. Kernel IP routing table
   
3. Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
   
4. IP1   *               255.255.255.192 U     0      0        0 eth1
   
5. 192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
   
6. 169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
   
7. default         zz209205109001. 0.0.0.0         UG    0      0        0 eth1
   

复制代码

tcpdump tcp port 9090 -i eth1

1. 
   
2. 18:06:31.329865 IP IP1.2338 > IP2.9090: S 2416609132:2416609132(0) win 65535 <mss 1412,nop,nop,sackOK>
   
3. 18:06:31.339282 IP IP2.9090 > IP1.2338: S 3393647156:3393647156(0) ack 2416609133 win 5840 <mss 1460,nop,nop,sackOK>
   

复制代码

但我的页出不来~

ssffzz1

eth1      Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
          inet addr:IP1  Bcast:IP1  Mask:255.255.255.192
          inet6 addr: fe80::20d:60ff:fe98:8b9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18203100 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13159546 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1502009936 (1.3 GiB)  TX bytes:1208528775 (1.1 GiB)
          Interrupt:193

eth1:0    Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
          inet addrIP1/26)  Bcast:209.205.109.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:193

这是为何。

另外你帖真实地址吧。这样看起来太费劲。通常公布真是地址不会带来安全问题。
从IP2的抓包结果来看，重定向是成功的。
iptables-save
贴上来IP1和IP2的看看。

kentchoi

这样的话，是不是意味着 外网访问 IP1 的 A 端口的数据，重新从 IP1 的接口出去，

而出去的时候，数据包经过 nat （源，目的都变化），源变成IP1 的地址，目的地址变成IP2的地址？

hb_li_520

原帖由 ssffzz1 于 2009-12-16 10:21 发表
eth1      Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
          inet addr:IP1  Bcast:IP1  Mask:255.255.255.192
          inet6 addr: fe80::20d:60ff:fe98:8b9/64 Scope:Link
          UP BROA ...

[root@localhost22 ha.d]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0D:60:98:08:B8  
          inet addr:192.168.1.43  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::20d:60ff:fe98:8b8/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1463550 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1850615 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:214892530 (204.9 MiB)  TX bytes:1540463902 (1.4 GiB)
          Interrupt:185


Computer 1


eth1      Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
          inet addr:209.205.109.22  Bcast:209.205.109.63  Mask:255.255.255.192
          inet6 addr: fe80::20d:60ff:fe98:8b9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18210748 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13164520 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1503031392 (1.3 GiB)  TX bytes:1209351285 (1.1 GiB)
          Interrupt:193

eth1:0    Link encap:Ethernet  HWaddr 00:0D:60:98:08:B9  
          inet addr:209.205.109.7  Bcast:209.205.109.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Interrupt:193

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:5131670 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5131670 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:538466894 (513.5 MiB)  TX bytes:538466894 (513.5 MiB)

[ 本帖最后由 hb_li_520 于 2009-12-16 11:08 编辑 ]