iptables后，外网访问网站可以，内网无法访问【已解决】

gilet

1. #!/bin/bash
   
2. #Description:
   
3. #a.This script is mainly used to implement the function of NAT
   
4. #b.Implemented for:
   
5. #       The script in / root, the script name iptables
   
6. #       chmod 744 /root/iptables
   
7. #       /root/iptables
   
8. #c.Or directly in the start-up can be as follows:
   
9. #       vi /etc/rc.d/rc.local
   
10. #Write the following line:
    
11. #       /root/iptables
    
12. #d.Made by gilet 2010/05/20
    
13. ##################################################################################
    
14. #0.Please enter your parameter values:
    
15.         EXIF='eth1'
    
16.         EXIN='eth0'
    
17.         EXNET='192.168.1.0/24'
    
18. #1.Here are the rules. If necessary. We should not change
    
19. #Start with the removal of routing rules:
    
20. PATH=/usr/kerberos/sbin:/usr/kerberos/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/usr/X11R6/bin:/root/bin
    
21. export PATH
    
22. modprobe ip_nat_ftp
    
23. modprobe ip_conntrack
    
24. echo "1">/proc/sys/net/ipv4/ip_forward
    
25. iptables -t mangle -F
    
26. iptables -t mangle -X
    
27. iptables -t mangle -Z
    
28. iptables -F
    
29. iptables -X
    
30. iptables -Z
    
31. iptables -t nat -F
    
32. iptables -t nat -X
    
33. iptables -t nat -Z
    
34. iptables -P INPUT  DROP
    
35. iptables -P OUTPUT ACCEPT
    
36. iptables -P FORWARD ACCEPT
    
37. iptables -t nat -P PREROUTING ACCEPT
    
38. iptables -t nat -P POSTROUTING ACCEPT
    
39. iptables -t nat -P OUTPUT ACCEPT
    
40. 
    
41. iptables -A INPUT -i lo -j ACCEPT
    
42. iptables -A INPUT -p tcp  --dport 22 -j ACCEPT
    
43. iptables -A INPUT -p tcp  --dport 3600 -j ACCEPT
    
44. iptables -A INPUT -p tcp  --dport 1723 -j ACCEPT
    
45. iptables -A INPUT -p tcp -s 192.168.1.0/24 -m multiport --dports 3690,3000,5902,3306,8000 -j ACCEPT
    
46. iptables -A INPUT -p ICMP -s 192.168.1.0/24 -j ACCEPT
    
47. 
    
48. iptables -t nat -A PREROUTING -d 221.11.86.241 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.253
    
49. iptables -t nat -A PREROUTING -d221.11.86.240 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.250
    
50. iptables -t nat -A PREROUTING -d 221.11.86.241 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.250
    
51. iptables -t nat -A PREROUTING -d 221.11.86.240 -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.250
    
52. iptables -t nat -A PREROUTING -d 221.11.86.241 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.250
    
53. iptables -t nat -A PREROUTING -d 221.11.86.240 -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.250
    
54. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
55. iptables -t nat -A POSTROUTING -s $EXNET -o $EXIF -j SNAT --to  221.11.86.241
    

复制代码

gilet

现在的情况是 iptables后，外网访问网站可以，内网无法访问

1. [root@backup ~]# telnet www.nihao.com 80
   
2. Trying 221.11.86.241...
   
3. telnet: connect to address 221.11.86.241.: Connection refused
   
4. telnet: Unable to connect to remote host: Connection refused
   

复制代码

80端口就连接不上。。。


eth1的ip是221.11.86.241,eth1:1的ip是221.11.86.240

gilet

搞定

1. iptables -t nat -A POSTROUTING -d 192.168.1.253 -p tcp -m tcp --dport 80 -j SNAT --to-source 192.168.1.254

复制代码

参考

1. 最近，到处看到有人问这个问题，怎么以前没人问，现在这么多人问呢？前两天我还在华为的论坛上仔细的说了这个问题，现在复制到这边来。希望能帮助大家理解这个问题。   
   
2.             这是个理论问题，我们先从NAT讲起：NAT有两种基本类型，一种是SNAT（Source   NAT)，一种是DNAT(Dest.   NAT).SNAT即源NAT是改变数据包的IP层中的源IP地址，一般是用来将不合法的IP外出请求转换成合法的IP的外出请求，就是普通的用一个或者几个合法IP来带动一整个非法IP段接入。   DNAT即目的NAT，就是改变数据包的目标IP地址，使得能对数据包重新定向，可以用做负载均衡或者用于将外部的服务请求重定向到内网的非法IP的服务器上。      
   
3.               好了，罗嗦了一通，大致就是这样了。   那么之所以会出现无法在DNAT的内部网络通过DNAT服务的外部IP地址来访问的情况，是因为，如果服务从内部请求，那么经过DNAT转换后，将目标 IP改写成内网的IP地址，譬如172.16.10.254,而请求的机器的IP是   172.16.10.100,数据包被网关172.16.10.1顺利的重定向到172.16.10.254的服务端口，然后，192.16.10.254根据请求发送回应给目的IP地址，就是172.16.10.100,但是，问题出现了，因为172.16.10.100请求的地址是外部IP   假设是221.232.34.56,所以他等待着221.232.34.56的回应，而172.16.10.254的回应请求被看做是非法的，被丢弃了。这就是问题的所在了。   
   
4.               呵呵，写的有点混乱，不好意思。不知道大家明白没有.那么如何解决这个问题，我说个用iptables实现的例子，   
   
5.           #我们先把发向外网IP221.232.34.56   80号端口的数据重定向到172.16.10.254   理论上来讲，如果只要从外网访问，这就完成了。   
   
6.           iptables   -t   nat   -A   PREROUTING   -p   tcp   -d   221.232.34.56   --dport   80   -j   DNAT   --to-destination   172.16.10.254      
   
7.           #解决内网通过外网IP访问的情况   
   
8.           iptables   -t   nat   -A   POSTROUTING   -p   tcp   -d   172.16.10.254   --dport   80   -j   SNAT   --to-source   172.16.10.1   
   
9.           我们将内网的请求强行送回到网关172.16.10.1，依靠网关在内核建立的状态表再转发到真实的请求地址172.16.10.100.   
   
10.           当然，这并不是最好的解决方法，最好的解决方法是将服务器放在另外一个网段，也就是说所谓的DMZ（解除武装区），这样就不会出现上面所说的问题了。   
    
11.           如果大家还不清楚，给个参考文档：   
    
12.           http://iptables-tutorial.frozentux.net/iptables-tutorial.html#DNATTARGET   
    
13.             
    
14.             就先说到这里了，我要去上班了。   

复制代码

yanjfb

gilet ,你好!
请教你一个问题,兄弟正在做双电信的linux代理服务器,一个外网是电信给的IP,另一个是从另外一个内网分过来的内网IP,怎么做双线负载啊!!两个网卡都有网关,怎么做啊??

gilet

回复 4# yanjfb


    哥们,我们是买的那种路由器,一配置就行了...

chenyx

回复 4# yanjfb


    论坛里面讨论过双线的问题,自己搜索下吧