2 小时玩转 iptables 讲义企业版 v1.5.4（已添加 PPT 格式）

七级风

好东西多谢啦~

iamshiyu

还是算了，完全没找到相关的ip地址……源地址目的地址都没有169开头的……以后我慢慢研究吧……多谢白金了。以后有问题还要多多请教……

xiaojian99

非常感谢，这方面正遇到问题呢。

iamshiyu

还是得问一下。我的机器跑nat，如果设置成
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE
就没有问题，能够带动内网机器上网
但是如果设置成
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to-source xxx.xxx.xxx.59
就不能带动机器上网。
xxx.xxx.xxx.59和本机ip是同一个网段的未占用ip地址……为什么就不行呢？nat部分没有其它的语句了，用iptables-save看，除了snat和masquerade之外没有任何区别
[root@linuxtest ~]# iptables-save
# Generated by iptables-save v1.2.11 on Thu Sep 14 09:11:51 2006
*nat
REROUTING ACCEPT [272614:131973671]
OSTROUTING ACCEPT [21709:2679496]
:OUTPUT ACCEPT [21709:2679496]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j MASQUERADE
COMMIT
# Completed on Thu Sep 14 09:11:51 2006
# Generated by iptables-save v1.2.11 on Thu Sep 14 09:11:51 2006
*filter
:INPUT DROP [50237:6657600]
:FORWARD DROP [22729:1445044]
:OUTPUT ACCEPT [1359329:426291154]
这样就能上
# Generated by iptables-save v1.2.11 on Thu Sep 14 09:17:44 2006
*nat
REROUTING ACCEPT [273057:132008373]
OSTROUTING ACCEPT [21716:2680236]
:OUTPUT ACCEPT [21715:2680176]
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -o eth1 -j SNAT --to-source xxx.xxx.xxx.59
COMMIT
# Completed on Thu Sep 14 09:17:44 2006
# Generated by iptables-save v1.2.11 on Thu Sep 14 09:17:44 2006
*filter
:INPUT DROP [50266:6661723]
:FORWARD DROP [22729:1445044]
:OUTPUT ACCEPT [1359490:426313572]
这样就不能上（后面省略了，内容完全没有改过）

platinum

我的机器跑nat，如果设置成
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j MASQUERADE
就没有问题，能够带动内网机器上网
但是如果设置成
/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to-source xxx.xxx.xxx.59
就不能带动机器上网。
xxx.xxx.xxx.59和本机ip是同一个网段的未占用ip地址……为什么就不行呢？

上面红颜色的字我没看懂
如果没猜错的话，你的问题出在你对 SNAT 的不理解上

iamshiyu

我的nat服务器外网的ip是xxx.xxx.xxx.57，而xxx.xxx.xxx.59是一个还没有使用的公网ip，子网掩码是28。
我是这样理解的：将所有从eth1发出的，源地址是192.168.10.0/24的包，进行SNAT，改写源地址为xxx.xxx.xxx.59。如果是用MASQUERADE，就是将所有从eth1发出的，源地址是192.168.10.0/24的包，进行MASQUERADE，也就是将发出包的源地址都改为xxx.xxx.xxx.57，难道有问题吗？请白金指点。
为什么用了MASQUERADE和SNAT --to-source xxx.xxx.xxx.59就会有这么大的差别呢？
不是说MASQUERADE只是SNAT的一个特例吗？有多大区别？

[ 本帖最后由 iamshiyu 于 2006-9-14 10:47 编辑 ]

platinum

-j SNAT --to xxx.xxx.xxx.57
这样应该就可以了
或者保持 59 也可以，你在你的防火墙上绑定一个 59 这个 IP 的 alias 试试

iamshiyu

真是怪异了，用-j SNAT --to xxx.xxx.xxx.57就没问题，用-j SNAT --to xxx.xxx.xxx.59就上不了！郁闷！
白金你说的在防火墙上绑定一个 59 这个 IP 的 alias 是什么意思？

[ 本帖最后由 iamshiyu 于 2006-9-14 11:29 编辑 ]

platinum

我不知道该怎么解释了。。。。
59 的 alias 就是 ifconfig eth0:0 之类的
你的问题的确出在对 SNAT 的理解上，但我真的不知道该怎么去解释会更好

iamshiyu

你的意思是如果没有实体interface对应（至少要让程序感觉到的确存在59这个对应的网络接口）就不能进行snat吗？