免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 5353 | 回复: 7

路由器 iptables 问题 [复制链接]

论坛徽章:
0
发表于 2010-01-18 09:23 |显示全部楼层
6可用积分
大家好,现在手上有一台路由器,在路由器后面连接一个DVR, DVR可以配置IP地址,设置为192.168.1.100,端口为85,默认网关和DNS均为路由器的IP地址。
在路由器上设置如下,设置动态DNS,通过域名"kasda.dyndns.org"可以访问路由器,将192.168.1.100设置成DMZ,并在NAT--Virtual Server中将端口转到85.
现在可以通过192.168.1.100:85访问DVR,但是不能通过kasda.dyndns.org:85访问DVR.

详细的iptables信息如下:
# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       udp  --  anywhere             192.168.1.1         udp dpt:domain to:202.96.128.166
DNAT       tcp  --  anywhere             anywhere            tcp dpt:85 to:192.168.1.100
DNAT       udp  --  anywhere             anywhere            udp dpt:85 to:192.168.1.100
DNAT       all  --  anywhere             anywhere            to:192.168.1.100
REDIRECT   udp  --  anywhere             anywhere            udp dpt:5060 redir ports 5060

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  192.168.1.0/24       anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

#iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  192.168.1.0/24       anywhere            udp dpt:30006
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30005
ACCEPT     udp  --  anywhere             anywhere            udp dpts:7070:7079
ACCEPT     udp  --  anywhere             anywhere            udp dpt:5060
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  192.168.1.0/24       anywhere            udp dpt:30006
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30005
ACCEPT     all  --  anywhere             192.168.1.100      
ACCEPT     udp  --  anywhere             192.168.1.100       udp dpt:85
ACCEPT     tcp  --  anywhere             192.168.1.100       tcp dpt:85
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
LOG        tcp  --  anywhere             anywhere            tcp flags:SYN,RST,ACK/SYN limit: avg 6/hour burst 5 LOG level alert prefix `Intrusion -> '
DROP       all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             239.255.255.250  

请教大家这个iptables列表有没有问题,怎样才能通过"kasda.dyndns.org:85"访问DVR?

谢谢!

论坛徽章:
0
发表于 2010-01-18 12:49 |显示全部楼层
为什么是动态DNS

论坛徽章:
0
发表于 2010-01-18 13:07 |显示全部楼层
在局域网内时,可以通过192.168.1.100:85访问,在广域网时,只能通过路由器通过pppoe分配的地址访问,用动态DNS就不怕机子断电重启了。

论坛徽章:
0
发表于 2010-01-22 14:03 |显示全部楼层
看不出什么问题来,你在你的路由器俩连抓包,进一步判读就下问题所在吧,还有看一下你的路由表不是正确了

论坛徽章:
0
发表于 2010-01-28 09:45 |显示全部楼层
iptables 防火墙是怎么设置的

论坛徽章:
0
发表于 2010-01-29 15:16 |显示全部楼层
很多情况下

if [  $端口 != 80 ]
then
外网IP:$端口   !=   动态域名:$端口
else
外网IP:$端口   =   动态域名:$端口
fi

论坛徽章:
0
发表于 2010-02-05 11:38 |显示全部楼层
先把
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
这条规则放在FORWARD链的前面一点,至少在192.168.1.100的前面,再看看。

论坛徽章:
0
发表于 2010-02-12 00:40 |显示全部楼层
你是在内网还外网测试的,跟环境应该也有关系,你抓包分析下吧。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP