通过netfilter的钩子函数拦截数据包实现转发的问题?????????????????

瀚海书香

回复 30# LYZC11


    iptables -t nat -A POSTROUTING -s 192.168.1.45 -j SNAT --to-source 192.168.1.126


将你出去的数据包地址转换成192.68.1.126，这样回来的数据包目的就是192.168.1.126，网关才会把数据包转到你的转发机器。

LYZC11

回复 31# 瀚海书香


    如果按之前你说的DNAT，SNAT设置,用wireshark抓取数据包后发现源地址和目的地址都是192.168.1.126,没有发生跳转到220.181.112.143去
    理论上不是应该是目的地址为220.181.112.143,而源地址为192.168.1.45吗?

    设置的DNAT，SNAT如下:

1. 
   
2. iptables -t nat -A PREROUTING -d 192.168.1.126 -j DNAT --to 220.181.112.143
   
3. iptables -t nat -A POSTROUTING -s 192.168.1.45 -j SNAT --to 192.168.1.126
   

复制代码

瀚海书香

回复 32# LYZC11

1.我这边测试了一下，如下的规则是没有问题的。
    iptables -t nat -F
    iptables -F
    iptables -X
    iptables -P FORWARD -j ACCEPT
    iptables -t nat -A PREROUTING -d 192.168.1.126 -p tcp   -j DNAT --to 220.181.112.143
    iptables -t nat -A POSTROUTING -s 192.168.1.45 -j SNAT --to 192.168.1.126

但是可能你的192.168.1.45是无法打开百度主页的。这样因为百度服务器，对非法的http请求拒绝的原因（因为你的http请求的的host是192.168.1.126，而不是百度的服务器IP）。
如果你要测试话，可以将220.181.112.143改为内部的一台apache服务器，或者校验不是很严格的服务器，比如61.55.167.115（CU服务器）

2.你抓包的源和目的都是192.168.1.126？ 你是在哪抓的包？

LYZC11

回复 33# 瀚海书香


1: 请问你那测试没问题是不是指,在192.168.1.45 PC中输入http://192.168.1.126，然后网页自动跳转到百度主页(220.181.112.143)并打开?
     我按你给出的命令,在192.168.1.45中访问http://192.168.1.126不成功

2:  对, 我用wireshark抓到的源和目的地都是192.168.1.126, 我是在192.168.1.45的机器上抓包的.

下面是wireshark抓到的数据包

1. 
   
2. time                Source                      Destination          Protocol                           Info
   
3. 0.000000        192.168.1.212        192.168.1.212        TCP        42097 > http [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSV=5060096 TSER=0 WS=6
   
4. 0.256007        192.168.1.212        192.168.1.212        TCP        42098 > http [SYN] Seq=0 Win=14600 Len=0 MSS=1460 SACK_PERM=1 TSV=5060160 TSER=0 WS=6

复制代码

瀚海书香

回复 34# LYZC11


    但是可能你的192.168.1.45是无法打开百度主页的。这样因为百度服务器，对非法的http请求拒绝的原因（因为你的http请求的的host是192.168.1.126，而不是百度的服务器IP）。
如果你要测试话，可以将220.181.112.143改为内部的一台apache服务器，或者校验不是很严格的服务器，比如61.55.167.115（CU服务器）

楼上没有认真看回复！！！

瀚海书香

回复 34# LYZC11

在1.45上抓包都是1.126的数据包，那是正确的。因为百度的服务器做了很多有效性检查，所以重定向是不能打开百度网页 。只需将重定向的IP改为一个别的校验性不强服务器的IP就可以了。

LYZC11

回复 36# 瀚海书香

    192.168.1.45上是可以开百度主页的啊.
    另外将百度IP改成你说的校验性不强的61.55.167.115（CU服务器）,也是打不开CU主页,怪了,
    是不是NAT配置不能在我这台192.168.1.45机器上修改iptables,而需要在网关上修改什么的？

瀚海书香

回复 37# LYZC11
上面所有的防火墙规则应该是加载到1.126上的。
不需要网关做特殊配置。

瀚海书香

回复 37# LYZC11

1.在192.168.1.126上添加规则：
    iptables -t nat -F
    iptables -F
    iptables -X
    iptables -P FORWARD -j ACCEPT
    iptables -t nat -A PREROUTING -d 192.168.1.126 -p tcp   -j DNAT --to 61.55.167.115
    iptables -t nat -A POSTROUTING -s 192.168.1.45 -j SNAT --to 192.168.1.126
2.在192.168.1.45上操作：
   清除本地浏览器缓存
   浏览器输入http://192.168.1.126

LYZC11

回复 39# 瀚海书香


再次谢谢浩瀚书香大侠的解答,
按以上规则试了一下,CU的首页确实可以成功打开了,
ps：不过百度GOOGLE的就不行了.