请教iptables做网关的问题

heguolin

环境：有一台linux服务器，双网卡:
eth0在192.168.0.0/24网段，ip:192.168.0.250
eth1在172.16.10.0/24网段，ip:172.16.10.250,这个网段的ip可以直接上网（网关:172.16.10.1）
现在用这台机器做个网关，想让192.168.0.0/24网段上网。

   iptables 中所有表均为-P ACCEPT.转发也打开了。
我配置为：
   iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j SNAT --to-source 172.16.10.20-172.16.10.240始终不能上网.(172网段除了172.16.10.1上面网关用了外，就本机用了172.16.10.250，其他ip都没被使用。)
     使用单个ip的nat也试了
   iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 172.16.10.100
     还是不行，如果使用eth1的ip就可以了
   iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to 172.16.10.250  
SNAT必须要在网关上配置了的IP才行吗？那那个--to-source怎么办？？
请帮忙告诉下？？

[ 本帖最后由 heguolin 于 2009-10-21 17:11 编辑 ]

chenyx

外网口连接的设备是否对ip有限制?

[ 本帖最后由 chenyx 于 2009-10-21 21:05 编辑 ]

emmoblin

肯定得配的，否则他不知道转换成谁的ip

heguolin

原帖由 emmoblin 于 2009-10-21 22:56 发表
肯定得配的，否则他不知道转换成谁的ip

那如果要从地址池172.16.10.10-192.16.10.240中SNAT,还不得都给eth1绑上??
我是用华为路由器的时候习惯了，直接nat就可以了。估计路由器一接受nat命令就自动绑定的。

heguolin

原帖由 chenyx 于 2009-10-21 21:02 发表
外网口连接的设备是否对ip有限制?

没有，只有172网段都可以出去。

cw0319

很少用SNAT做代理上网，个人比较喜欢用伪装，容易实现

jxwoy

iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j SNAT --to-source 172.16.10.20-172.16.10.240

只是把class 3变成class 2网段，还是不能访问Internet。

试试改成
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j SNAT --to 172.16.10.1
或者
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j MASQUERADE

gamester88

看看网络版的白金版主的置顶帖

zzwu73

应该是
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j SNAT --to 172.16.10.250
或者
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j MASQUERADE

xuledw

原帖由 zzwu73 于 2009-11-9 21:27 发表
应该是
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j SNAT --to 172.16.10.250
或者
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o eth1  -j MASQUERADE

支持这个