请教，dnat没有生效，如何检查？？？

zfsoft2206

回复  platinum
    麻烦老大了！

环境：
　　　宿主机：
                             OS:  ubunt ...
chong232 发表于 2010-08-09 16:25

偶没用过伪装那种方式，偶直接指明SNAT和DNAT，直接用明确方向方式，修改成：

1. ipables -t nat -A PREROUTING -p tcp -d 159.226.x.x --dport 80 -j DNAT --to-destination 192.168.0.2:80

复制代码

这句表示你在192.168.0.0网段和159.226.x.0网段访问任何159.226.x.x都跳转到192.168.0.2:80

1. ipables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 159.226.xxx.xxx

复制代码

这句表示你在192.168.0.0网段通过NAT方式连接Internat

所以按照你的说法，当192.168.0.0网段访问159.226.x.x的80端口时，上面的第一条语句马上起作用，跳转自然还是192.168.0.2:80

platinum

-A FORWARD -s 192.168.0.2/32 -d 192.168.0.2/32 -p tcp -m tcp --dport 80 -j ACCEPT
这句可以不要，因为你的 default policy 本身就是 ACCEPT，不过这个不影响测试结果

我的和你的 iptables 实现是一样的，只是 IP 不同（这个和拓扑有关）
初步怀疑可能是不同的虚拟机的原因

chong232

回复 32# platinum


  嗯，那句规则是为了跟踪一下网络包.
　　问下老大的vmware是哪个版本，我想下下来测试一下，看看到底是不是虚拟机不同所致。

platinum

我用的是 VMWare Workstation 7.1.0 build-261024

zfsoft2206

环境：
　　　宿主机：ubuntu10.04 　ip:  159.226.x.x
            虚拟机：windows xp sp3   防火墙关， ...
chong232 发表于 2010-08-08 21:28

楼主看下这个


或者参考
http://www.frozentux.net/iptable ... rial-cn-1.1.19.html

chong232

回复 31# zfsoft2206


    你说的规则我也试过了，也不行，我也开始怀疑是虚拟机的问题了

chong232

回复 34# platinum


    我又查看了下ip_contrack，有如下语句：

1. tcp      6 119 SYN_SENT src=192.168.0.2 dst=159.226.13.157 sport=1060 dport=80 packets=2 bytes=104 [UNREPLIED] src=192.168.0.2 dst=192.168.0.1 sport=80 dport=1060 packets=0 bytes=0 mark=0 secmark=0 use=2
   

复制代码

这是不是说明，包其实已经转发出去了，但是期待的没有回来。。。期待：src=192.168.0.2 dst=192.168.0.1 sport=80　dport=1060

chong232

回复 35# zfsoft2206


    谢谢！

platinum

回复  platinum


这是不是说明，包其实已经转发出去了，但是期待的没有回来。。。期待：src=192.168.0.2 dst=192.168.0.1 sport=80　dport=1060
chong232 发表于 2010-08-09 17:07

应该是没收到回包的样子
在虚拟机上抓包能抓到些什么？

zfsoft2206

回复 37# chong232

你显示下网关的route和addr，使用ip addr show 和 ip route show