iptables DNAT 外网访问正常,内网不行,牛人请进!

網中人

資訊不完整（沒貼完），且前後的資訊也不一致（192.168.1.1 v.s. 192.168.1.2）。
所以，我暫不給意見了。

万里北国

iptables手册上对这个问题有专门的解释啊。

ssffzz1

/sbin/iptables -t nat -A PREROUTING -s ! 192.168.1.253  -p tcp --dport 80 -j DNAT --to 192.168.1.253:80
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE


我没有测试，如果你在１９２.１６８.０.２５３上面开了８０代理的话应该可以．但如果没开，那么访问所有的８０端口的网站就会全部到２５３上面，也就是只能打开２５３的页面．

枫影谁用了

原帖由 ssffzz1 于 2007-1-15 09:43 发表
/sbin/iptables -t nat -A PREROUTING -s ! 192.168.1.253  -p tcp --dport 80 -j DNAT --to 192.168.1.253:80
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE


我没有测试，如果 ...

呵呵!在我看来,就是这个目的哦!难道我审题有误?呵呵

这个要问问LZ!

ssffzz1

看来是你审题有误了．ＬＺ说的是ＤＮＡＴ开内部ＷＥＢ服务器，外网访问正常，内网无法访问．内网开的是ＷＥＢ服务器，没说开代理的．

枫影谁用了

原帖由 ssffzz1 于 2007-1-15 10:36 发表
看来是你审题有误了．ＬＺ说的是ＤＮＡＴ开内部ＷＥＢ服务器，外网访问正常，内网无法访问．内网开的是ＷＥＢ服务器，没说开代理的．

为什么要开代理?

用了LZ的IPTABLES语句当然是外部可以访问,内部不可以访问.

还是等LZ说清楚好点.

ssffzz1

你搞糊涂了．用你的方法只能访问内网ＷＥＢ服务器的哪个网站，如果内网其他机器要访问别的网站，那么他的浏览器中打开的也是这个网站．ＬＺ说的问题是解决了，可是有会出现更大的问题．
内网无法正常访问的原因就是内网访问哪个网站的时候解析出来的是网关的外网ＩＰ，这样就存在了一个数据回流（暂且这么叫吧）的问题．

枫影谁用了

原帖由 ssffzz1 于 2007-1-15 10:51 发表
你搞糊涂了．用你的方法只能访问内网ＷＥＢ服务器的哪个网站，如果内网其他机器要访问别的网站，那么他的浏览器中打开的也是这个网站．ＬＺ说的问题是解决了，可是有会出现更大的问题．
内网无法正常访问的原因 ...

呵呵!问题是要解决LZ的这个问题.

至于你说的,我想在IPTABLES指定不行吗?不知道你测试过没有!呵呵

数据回流(你叫的,我跟着叫),理论上是有这个.

[ 本帖最后由 枫影谁用了 于 2007-1-15 10:59 编辑 ]

ssffzz1

LZ的这个问题是解决了，可又带来更大的问题，你说这样合适吗．
单纯的在网关的iptables里指定规则是没用的，他必须和ＷＥＢ服务器配合才能起作用．因为规则只能指定机器本身如何处理数据包，而无法指定ＷＥＢ服务器的数据包流向．当然如果ＷＥＢ机器的前端有ＳＱＵＩＤ并且开了代理服务，你的指定就完全正确．

枫影谁用了

原帖由 ssffzz1 于 2007-1-15 11:07 发表
LZ的这个问题是解决了，可又带来更大的问题，你说这样合适吗．
单纯的在网关的iptables里指定规则是没用的，他必须和ＷＥＢ服务器配合才能起作用．因为规则只能指定机器本身如何处理数据包，而无法指定ＷＥＢ服 ...

呵呵!我们争这个没有用!

重要的解决LZ的问题,用你说的办法也好,我说的也罢,看LZ的选择.

哈哈...