2 小时玩转 iptables 讲义企业版 v1.5.4（已添加 PPT 格式）

platinum

如果你的接入方式里，ISP 提供的网关是公网 IP，那么就必须绑定，如果与 ISP 之间是私网 IP 对联，公网 IP 是 ISP 路由过来的就没事，不过我怀疑你的情况是第一种

iamshiyu

我的ip的确是ISP 提供的公网ip，而且给定了网关和掩码，我随便找台机器把没有用的公网ip使用上，就可以上外网。你说的要绑定是什么？

platinum

哦，看来一句两句确实不好解释清楚，你需要补习一些网络基础知识了
有 IP 才能上网，NAT 的工作原理，何时要做 NAT 等这些基本概念要清楚
你要有 IP 与对方对连，才能与对方通信，这是最基本的
若你根本没有 59 这个 IP，又怎么能欺骗成 59 去连接外部呢？数据回包的时候怎么办呢？

iamshiyu

我有一个网段地址啊，是一个xxx.xxx.xxx.48/28这个段的ip给我随便用的，都是isp分配给我的，我可以使用其中的任何一个，这个59还没有用到罢了。其他的ip我只要设置好了掩码、ip和网关自然就可以用。难道说我snat还需要注明--to xxx.xxx.xxx.59/32么？再说注明了也没用，还是不知道这个ip属于xxx.xxx.xxx.48/28网段。

[ 本帖最后由 iamshiyu 于 2006-9-14 14:58 编辑 ]

iamshiyu

nat的工作原理我相信自己多少了解了一些，简单说不就是把源地址或者目的地址进行改写，然后把来自内网的包转发到公网么？在prerouting部分进行目的地址的改写，判断数据包是要求转发还是进入，如果转发走filter的forward链，否则走filter的input、output链和nat的output链，最后在postrouting部分进行源地址的改写。但是我做nat转发，应该不经过机器内部，而是直接走的转发链，所以直接在prerouting的时候发送到filter的forward链，然后发给nat的postrouting链进行源地址改写以便能够发送到公网上对吧？
我的问题就是为什么用-j SNAT --to xxx.xxx.xxx.57或者-j MASQUERADE就可以上网，但是改成-j SNAT --to xxx.xxx.xxx.59就不能，我现在随便找台机器，连在交换机上，把ip改成xxx.xxx.xxx.59，掩码255.255.255.240，网关xxx.xxx.xxx.49，这台机器就能上公网了。

[ 本帖最后由 iamshiyu 于 2006-9-14 15:10 编辑 ]

iamshiyu

我不太想加eth1:0之类的东西，本来想要做成直接改变源地址为.59就是为了减少外界对该主机的访问可能，如果把.59绑定在eth1:0上，岂不是意味着对eth1:0也就是.59的访问也都可能会转到机器本地？那还有什么意义？反而增加机器被攻击的可能性……

platinum

你对网络的概念很模糊，建议发新贴讨论吧

iamshiyu

我的确不清楚所谓的“单臂路由”以及“地址池”是如何确保本来没有被使用的ip不被其他机器所占用的。很想请教一下。

[ 本帖最后由 iamshiyu 于 2006-9-14 17:11 编辑 ]

zyybbs

谢谢

milouis

thanks for u help