【已解决】iptables DNAT规则无效，请大家帮忙。

liaohuachao

回复 10# LOSTKILLER
是的。还要为返回的数据包做SNAT才行。


   

kiss8212180

不是很理解
返回不是有路由出去的么..应该不用SNAT吧...

mxiaohua1768

回复 9# liaohuachao


    #echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -s  10.6.3.208 -p tcp --sport 80 -i eth0 -j SNAT --to 192.168.1.100     这样行吗？


#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -d 10.6.3.208 -p tcp --dport 80 -o eth0 -j SNAT --to 10.6.3.211  这句不太懂什么意思

还有就是  不用做SNAT的这种办法行吗
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -A INPUT  -m state --state ESTABLISHED,NEW,RELATED -j  ACCETP  
你可以试试看~

tianlijian

学习下，呵呵

liaohuachao

回复 13# mxiaohua1768

#iptables -t nat -A POSTROUTING -s  10.6.3.208 -p tcp --sport 80 -i eth0 -j SNAT --to 192.168.1.100     这样行吗？

这个不行。另外，-i参数不能用着SNAT中，同样，-o参数不能用在DNAT中。

#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -d 10.6.3.208 -p tcp --dport 80 -o eth0 -j SNAT --to 10.6.3.211  这句不太懂什么意思
这句的意思是在数据包离开eth0之前，将原地址改为10.6.3.211(之前原地址是192.168.1.100)

还有就是  不用做SNAT的这种办法行吗
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -A INPUT  -m state --state ESTABLISHED,NEW,RELATED -j  ACCETP  
你可以试试看~
这个我试了一下，不行。


   

mxiaohua1768

回复 15# liaohuachao


    如果你的web 网关是 eth0的话， 我觉得不用SNAT啊，那台iptables 机器会通过路由表 和 web服务器通信的啊，（同一网段发广播的啊），不用改变源IP吧，为什么要SNAT

youthdating

确实，为什么要用SNAT，我也觉得不用。