请教，dnat没有生效，如何检查？？？

chong232

回复 39# platinum


    什么也没有，，所以我怀疑是虚拟机的问题

chong232

回复 40# zfsoft2206

1. root@xcch-desktop:/home/xcch/Downloads# ip addr show
   
2. 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
   
3.     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   
4.     inet 127.0.0.1/8 scope host lo
   
5.     inet6 ::1/128 scope host
   
6.        valid_lft forever preferred_lft forever
   
7. 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP qlen 1000
   
8.     link/ether 00:23:ae:99:ac:d6 brd ff:ff:ff:ff:ff:ff
   
9.     inet 159.226.13.157/25 brd 159.226.13.255 scope global eth0
   
10.     inet6 2001:cc0:2008:133:223:aeff:fe99:acd6/64 scope global dynamic
    
11.        valid_lft 2591993sec preferred_lft 604793sec
    
12.     inet6 fe80::223:aeff:fe99:acd6/64 scope link
    
13.        valid_lft forever preferred_lft forever
    
14. 3: vboxnet0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
    
15.     link/ether 0a:00:27:00:00:00 brd ff:ff:ff:ff:ff:ff
    
16.     inet 192.168.0.1/24 brd 192.168.0.255 scope global vboxnet0
    
17.     inet6 fe80::800:27ff:fe00:0/64 scope link
    
18.        valid_lft forever preferred_lft forever
    

复制代码

1. 159.226.13.128/25 dev eth0  proto kernel  scope link  src 159.226.13.157  metric 1
   
2. 192.168.0.0/24 dev vboxnet0  proto kernel  scope link  src 192.168.0.1
   
3. 169.254.0.0/16 dev eth0  scope link  metric 1000
   
4. default via 159.226.13.254 dev eth0  proto static
   

复制代码

chinaunix874

-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT - ...
platinum 发表于 2010-08-09 15:56

这两句应该是virt启动虚拟机的时候，自动加上的。具体作用我也不清楚。
不过看规则的样子，应该是指收到目标端口不可达的消息后，丢弃包，并且再返回一个目标端口不可达的消息。

platinum

这两句应该是virt启动虚拟机的时候，自动加上的。具体作用我也不清楚。
不过看规则的样子，应该是指 ...
chinaunix874 发表于 2010-08-09 17:41

根据我的理解，这两句加起来的意思就是阻止一切通过 vir 接口传输的数据

chong232

回复 39# platinum

　在Vmware下没有任何问题，应该是VBox虚拟机的问题：

    装好了VMware workstation 7.1，网上搜的序列号，宿主网络配置不变，只是把iptables里的
　ip按照VMware的网络改了下，guest的vmdk文件用的是VBox测试时的同一个文件，里面网络环境除了ip，网关，其它都未动。

　在guest下访问http://159.226.13.157，显示正常，是192.168.85.2的server页面

platinum

VMWare 就是这点好，和真实环境非常接近
这也就是我为什么一直选择使用 VMWare 的原因（不是打广告哦，呵呵）

chong232

回复 46# platinum


   　呵呵，但它收费，，，所以一直用VBox，适合个人使用，更简单，以前也没有没出过啥问题，不过这次栽了。。。。

chinaunix874

根据我的理解，这两句加起来的意思就是阻止一切通过 vir 接口传输的数据
platinum 发表于 2010-08-09 21:12

没错！白金版主还是比较仔细，这两句的确是阻止通过virbr0接口传输数据的。

-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable

之前倒是想过把
-A FORWARD -d 172.16.10.20/32 -j ACCEPT
这句放到FORWARD链的第一句，不过不知道怎么插入到指定行之前，就没有试。
应该用
-I FORWARD -d 172.16.10.20/32 -j ACCEPT
这样就插入到首部对了吧？

platinum

之前倒是想过把
-A FORWARD -d 172.16.10.20/32 -j ACCEPT
这句放到FORWARD链的第一句，不过不知道怎么插入到指定行之前，就没有试。
应该用
-I FORWARD -d 172.16.10.20/32 -j ACCEPT
这样就插入到首部对了吧？
chinaunix874 发表于 2010-08-11 09:36

对，也可以指定插入到第几条，用 -I FORWARD n 来实现，n 是你要插入成第 n 条
这是比较基础的部分，可以参考我在 2006 年写的那个《2 小时玩转 iptables》文档，里面有提到