iptables DNAT 的问题

liuyubin76

eth0 - 公网
eth1 - 局域网/10.10.0.0  

（局域网里的另外一台机器： 10.10.1.2  上 80 端口有 HTTP 服务）

我希望从公网（eth0）进来的 HTTP 请求通过 DNAT 转到 10.10.1.2 上。 运行下面的规则后实现不了，总是不能访问。麻烦看一下哪里有问题，多谢！

#!/bin/bash

        echo 1 > /proc/sys/net/ipv4/ip_forward

        iptables -F -t nat
        iptables -F -t filter
        iptables -F INPUT
        iptables -F OUTPUT
        iptables -F FORWARD

        iptables -t nat -P PREROUTING ACCEPT
        iptables -t nat -P POSTROUTING ACCEPT
        iptables -P INPUT ACCEPT
        iptables -P OUTPUT ACCEPT
        iptables -P FORWARD ACCEPT

        iptables -A INPUT -j ACCEPT
        iptables -A OUTPUT -j ACCEPT
        iptables -A FORWARD -j ACCEPT

        iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j DNAT --to 10.10.1.2

河里的鱼

少一个SNAT,再加一个SNAT

liuyubin76

原帖由 河里的鱼 于 2006-11-1 16:45 发表
少一个SNAT,再加一个SNAT

多谢! 按你提示加了下面一行可以了！

#10.10.1.1 是 eth1 IP
iptables -A POSTROUTING -t nat -o eth1 -p tcp --dport 80 -j SNAT --to-source 10.10.1.1

liuyubin76

原帖由 河里的鱼 于 2006-11-1 16:45 发表
少一个SNAT,再加一个SNAT

我明白了，这种情况下源地址和目的地址都要转换数据包才能知道正确的路径。NAT 方式访问公网只需要做 一个 SNAT 是因为目的地址是确定的。还是基础不扎实，否则自己应该可以想出来的。