NAT 弱弱的问题

darnis

有没有人 帮忙 看看 我的 iptables NAT 功能 为啥 不行呢？

我的网络结构比较常见的：
主机A（需要配置防火墙的）有两张网卡：
  eth3:2.3.4.5 外网的
  eth2:192.168.18.245 内网的。
网内 服务器 192.168.18.228:8443

想做一个 NAT
2.3.4.5:6456-->192.168.18.228:8443

我的 filter 是 全 ACCEPT 的，

nat 表加了
iptables -t nat -A POSTROUTING -p tcp -s 192.168.18.0/24 -o eth3 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth3 -p tcp --dport 6456 -d 2.3.4.5 -j DNAT --to 192.168.18.228:8443
iptables -t nat -A POSTROUTING -o eth2 -p tcp -d 192.168.18.228 --dport 8443 -j SNAT

抓狂了，为什么 就不行呢？

/proc/net/ipv4/ip_forward 是 为 1 的。

chenyx

去掉iptables -t nat -A POSTROUTING -o eth2 -p tcp -d 192.168.18.228 --dport 8443 -j SNAT
然后,iptables -t nat -L 看下规则

darnis

回复 2# chenyx

-j SNAT 写错了，后面 还有 一个 --to 192.168.18.245:6456

这个 可以 不要 吗？
我刚把这行 注释 掉后做了测试，，结果 是一样的。

从之前 论坛里面 搜索 到的老贴子看到的需要 加这么一条，，，觉得 好像也是 有道理。

因为数据包 首先从  eth3 收到时 做了 DNAT 数据包 被 放到 eth2 内网卡的 缓存中，这时在 eth2 往外发的时候 ，
是应该把 source 更改为 本机 eth2 的 IP 地址 一样。

不知道 这样的 理解 对不？

darnis

下面 的是 结果 ：
sudo iptables -t nat -vnL
Chain PREROUTING (policy ACCEPT 46 packets, 5954 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DNAT       tcp  --  eth3   *       0.0.0.0/0           2.3.4.5        tcp dpt:6456 to:192.168.18.228:8443

Chain POSTROUTING (policy ACCEPT 1 packets, 60 bytes)
pkts bytes target     prot opt in     out     source               destination         
    1    71 MASQUERADE  all  --  *      eth3    192.168.18.0/24      0.0.0.0/0           

Chain OUTPUT (policy ACCEPT 2 packets, 131 bytes)
pkts bytes target     prot opt in     out     source               destination

taojie2000

iptables -t nat -A PREROUTING -d 2.3.4.5  -p tcp --dport 6456  -j DNAT --to  192.168.18.228:8443

iptables -t nat -A POSTROUTING -d 192.168.18.228  -p tcp --dport 8443  -j SNAT --to 192.168.18.245

darnis

回复 5# taojie2000


    谢谢 ！
好了，，终于。！

mxiaohua1768

iptables -t nat -A PREROUTING -d 2.3.4.5  -p tcp --dport 6456  -j DNAT --to  192.168.18.228:8443

...
taojie2000 发表于 2011-09-06 11:51

    为什么第二条是那样，做SNAT不是源地址是192.168.18.228 源端口是8843吗，还有转换的地址怎么不是 2 .3.4.5  ？

mxiaohua1768

回复 5# taojie2000


     为什么第二条是那样，做SNAT不是源地址是192.168.18.228 源端口是8443吗，还有转换的地址怎么不是 2 .3.4.5  ？

chenyx

最后那个SNAT规则应该是没用的啊

taojie2000

回复 9# chenyx


  嗯   对于服务器没设置内网网关的    用可以