iptables做端口映射的问题谢谢帮忙

aeh

公网x.x.x.20   主页服务器
公网x.x.x.29   dns服务器
dns服务器单网卡 eth0配的ip：x.x.x.29


我想人家浏览器输入： abc.com的时候能访问我们的主页x.x.x.20（上级dns已经把abc.com指向x.x.x.29），于是我把端口映射过去了
[aeh@dns ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             abc.com         tcp dpt:http to: x.x.x.20:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       tcp  --  www.abc.com      anywhere            tcp spt:http to: x.x.x.29:80

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      


但是地址栏输入  x.x.x.29 却打不开
1、大家帮我看看 有什么问题


2、想达到目的用其他方式行不行

谢谢停留，不会用积分，不好意思啊

上面tcp dpt:http to: x.x.x.20:80  tcp spt:http to: x.x.x.29:80 这两个: x中间我加了一个空格 不然就是这个符号了

[ 本帖最后由 aeh 于 2008-9-19 20:50 编辑 ]

剑次狼

策略不对
上级DNS授权没授权你x.x.x.29的DNS服务器对abc.com的解析权
如果授权了就不需要iptables了。直接dns配置里设置即可。

[ 本帖最后由 剑次狼 于 2008-9-19 21:11 编辑 ]

lzs45

IP转发开了没有？

echo 1 > /proc/sys/net/ipv4/ip_forward



参考
IP1：8888 映射到IP2：3389  （IP1外网，IP2内网）

iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-destination IP2:3389 iptables -t nat -A POSTROUTING --dst IP2 -p tcp --dport 3389 -j SNAT --to-source IP1

[ 本帖最后由 lzs45 于 2008-9-19 21:16 编辑 ]

aeh

原帖由 剑次狼 于 2008-9-19 21:08 发表
策略不对
上级DNS授权没授权你x.x.x.29的DNS服务器对abc.com的解析权
如果授权了就不需要iptables了。直接dns配置里设置即可。

上级dns已经把abc.com指向x.x.x.29，这句话可能表达不清，这句话的意思就是上级DNS授权已授权x.x.x.29的DNS服务器对abc.com的解析权

如果授权了就不需要iptables了。直接dns配置里设置即可。

我要的是所有访问dns服务器80端口的都转到www服务器上去，可以吗？

aeh

原帖由 lzs45 于 2008-9-19 21:09 发表
IP转发开了没有？

echo 1 > /proc/sys/net/ipv4/ip_forward

IP转发开了

参考
IP1：8888 映射到IP2：3389  （IP1外网，IP2内网）
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-d ...

只有一个网卡，单网卡的dns，没有内外网

lzs45

原帖由 aeh 于 2008-9-20 10:41 发表

只有一个网卡，单网卡的dns，没有内外网

这个不是双网卡的转发，IP1是服务器的外网地址，IP2是内网办公机器，通过映射以后在家里用IP1:8888来远程登录内网的办公机器。

你把IP1换成DNS服务器IP，IP2换成web服务器IP试试

aeh

原帖由 lzs45 于 2008-9-20 14:00 发表


这个不是双网卡的转发，IP1是服务器的外网地址，IP2是内网办公机器，通过映射以后在家里用IP1:8888来远程登录内网的办公机器。

你把IP1换成DNS服务器IP，IP2换成web服务器IP试试

我是这样做的
# vi /etc/rc.d/rc.local

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -d x.x.x.29 -p tcp --dport 80 -j DNAT --to x.x.x.20:80
iptables -t nat -A POSTROUTING -s x.x.x.20 -p tcp --sport 80 -j SNAT --to x.x.x.29:80
启动后结果
[aeh@dns ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         
DNAT       tcp  --  anywhere             abc.com         tcp dpt:http to: x.x.x.20:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
SNAT       tcp  --  www.abc.com      anywhere            tcp spt:http to: x.x.x.29:80

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      


和您的做法
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-destination IP2:3389
iptables -t nat -A POSTROUTING --dst IP2 -p tcp --dport 3389 -j SNAT --to-source IP1
下面这个dst应该是您笔误吧
两个做法好像没有区别哦

啰嗦了点，还请照顾一下
另外：我的dns和www都在同一个网段，这应该没什么问题吧

[ 本帖最后由 aeh 于 2008-9-20 17:01 编辑 ]

lzs45

原帖由 aeh 于 2008-9-20 16:52 发表
和您的做法
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-destination IP2:3389
iptables -t nat -A POSTROUTING --dst IP2 -p tcp --dport 3389 -j SNAT --to-source IP1
下面这个dst应该是您笔误吧
两个做法好像没有区别哦

啰嗦了点，还请照顾一下
另外：我的dns和www都在同一个网段，这应该没什么问题吧

不是笔误，这个是以前从网上复制下来的，我在公司有外网IP的服务器（单网卡）上设置后，可以通过那台服务器的外网IP远程桌面连内网的办公机器

你只把上面的IP和端口改一下在你的x.x.x.29这个服务器上试一下，不行再想别的办法