【已解决】iptables DNAT规则无效，请大家帮忙。

liaohuachao

测试环境：RHEL 5.4，双网卡。
内网：eth0  10.6.3.211；  
外网：eth1  192.168.1.100；
内网web server：web.domain.com（10.6.3.208）；
外网客户端：192.168.1.3

想实现的功能：使用iptables,能在外网上能访问到内网的web server。

操作：
1.外网客户端hosts文件添加记录，将web.domain.com解析到NAT server的外网地址，即192.168.1.100
2.在NAT server 上添加iptables规则：
   #echo 1 > /proc/sys/net/ipv4/ip_forward
   #iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.100 -p tcp --dport 80 -j DNAT --to 10.6.3.208
   
   
遇到的问题：在外网客户端上不能访问内网服务器。请问我以上的操作是否正确？还需要做些什么？多谢了！

说明一下，iptables只设置了这条规则。加了iptables -A FORWARD -p tcp --dport 80 -j ACCEPT也没用。

mxiaohua1768

内网web server：web.domain.com（10.6.3.208）  指网关了吗  ------内网：eth0  10.6.3.211；

南极雨

回复 1# liaohuachao


   #iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.100 -p tcp --dport 80 -j DNAT --to 10.6.3.211
　　iptables -t nat -A PREROUTING -i eth０ -d 10.6.3.211 -p tcp --dport 80 -j DNAT --to 　10.6.3.208

     iptables -I  FORWARD --dport 80 -p tcp -j ACCEPT

试试看呗

liaohuachao

回复 2# mxiaohua1768

有网关。内网web server和NAT服务器的内网网关都是10.6.3.254.
请问一定要将网关设置为10.6.3.211吗？

   

kiss8212180

如果你的默认网关不是10.6.3.211的话 那你得要添加一条到192.168.1.100的路由的，要不然数据都丢给你的默认网关去了.

liaohuachao

回复 3# 南极雨
还是不行哦。还有其他招吗？

   

南极雨

回复 6# liaohuachao


    换成:--to-destination 看看... --to 有两个意思:--to-destination 和--to-source

liaohuachao

回复 7# 南极雨

大侠，还是不行哦。
   

liaohuachao

多谢大家的帮助。现在问题已经解决。将方法跟大家分享一下：
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -d 10.6.3.208 -p tcp --dport 80 -o eth0 -j SNAT --to 10.6.3.211

LOSTKILLER

楼主开始只记得做了DNAT,而没有做SNAT。