关于iptables、NAT等求助大虾，谢谢指教！

youthdating

一、网络背景
    C1机，CENTOS6.2，双网卡，eth0为外网IP，eth1为内网IP。
    W1机、W2机，WINDOWS 2008 R2，WEB服务，内网WEBIP。
    D1机，WINDOWS 2008 R2+SQL 2008，数据库服务器，内网DATAIP。
    其他：交换机一台等。暂时每个服务器都接在交换机上，有意将W1、W2直接接在D1(有4个网卡)上，也即W1/2会有一网卡接交换机，一网卡接D1，而D1会有一网卡接交换机，两网卡分别接W1/2。只是不知会对IPTABLES配置有何影响？
二、配置要求
    1、安全为首要考虑目标。
    2、数据库服务器D1机不仅为W1/2访问，外网还有应用程序需直接通过端口访问。
    3、W1/2机如果能做一个访问分配策略，如此甚好，但不强求，目前暂时靠端口不同分开访问。
    4、希望能够实现内网也能访问外网，否则操作系统如何实现更新呢？
三、目前的IPTABLES设置如下内容，但不能实现内网访问外网，此外有些规则不知是否必要，在蓝色提示处提出问题。
# Generated by iptables-save v1.4.7 on Wed Feb 29 22:42:16 2012
*nat
REROUTING DROP [0:0]
:OUTPUT DROP [0:0]
OSTROUTING DROP [0:0]
-A PREROUTING -p tcp -m tcp -d 外网IP/32 --dport 80 -j DNAT --to-destination WEBIP1:80
-A PREROUTING -p tcp -m tcp -d 外网IP/32 --dport 81 -j DNAT --to-destination WEBIP2:81
-A PREROUTING -p tcp -m tcp -d 外网IP/32 --dport XXX -j DNAT --to-destination DATAIP:XXX
-A POSTROUTING -p tcp -m tcp -d WEBIP1/32 --dport 80 -j SNAT --to-source 内网IP
-A POSTROUTING -p tcp -m tcp -d WEBIP2/32 --dport 81 -j SNAT --to-source 内网IP
-A POSTROUTING -p tcp -m tcp -d DATAIP/32 --dport XXX -j SNAT --to-source 内网IP
-A PREROUTING -p tcp -m tcp -m multiport -j ACCEPT --dports 10000,22     **这个地方是为了开放SSH和webmin服务。很奇怪，为何要在PREROUTING这个地方需要开放端口呢，否则远程无法访问，为何为何？COMMIT
# Completed on Wed Feb 29 22:42:16 2012
# Generated by iptables-save v1.4.7 on Wed Feb 29 22:42:16 2012
*mangle                这个东东是需要默认DROP呢，还是ACCEPT，如果默认DROP，需要开什么呢？REROUTING ACCEPT [512:56030]
:INPUT ACCEPT [509:55279]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [433:54435]
OSTROUTING ACCEPT [433:54435]
COMMIT
# Completed on Wed Feb 29 22:42:16 2012
# Generated by iptables-save v1.4.7 on Wed Feb 29 22:42:16 2012
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 10000,22    **此处貌似好理解，因为访问到C1机本身了，所以需要开放2个端口，以便能访问到。
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT           **有疑问，这个必要不必要？如果没有，会影响什么？
-A FORWARD -p tcp -m tcp -m multiport -j ACCEPT --dports 80,XXX      **因为开放了WEB服务，和数据服务，是否要在这个链开放这两个端口？
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT      **同样的疑问，这个必要不必要？如果没有，会影响什么？
  
COMMIT
# Completed on Wed Feb 29 22:42:16 2012

youthdating

这里没人？
静悄悄

youthdating

人真少。

yhliu

不想多说什么，从我的角度来讲，你似乎并不熟悉iptables
1,Nat表不是用来做过滤的，
:REROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
这个表只用来做nat，不要做过滤。
另外，-A POSTROUTING -p tcp -m tcp -d DATAIP/32 --dport XXX -j SNAT --to-source 内网IP，这句什么意思，没看明白。
如果想做端口回流的话，也不是这样写啊。-j SNAT --to-source 外网IP
2,filter表做过滤
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -m multiport -j ACCEPT --dports 10000,22    **此处貌似好理解，因为访问到C1机本身了，所以需要开放2个端口，以便能访问到。
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT           **有疑问，这个必要不必要？如果没有，会影响什么？
-A FORWARD -p tcp -m tcp -m multiport -j ACCEPT --dports 80,XXX      **因为开放了WEB服务，和数据服务，是否要在这个链开放这两个端口？
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT      **同样的疑问，这个必要不必要？如果没有，会影响什么？
COMMIT

帮你改下，免费的，下次不会了。
*filter
:FORWARD DROP [0:0]
:INPUT DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp  -m multiport --dports 10000,22 -j ACCEPT   **此处貌似好理解，因为访问到C1机本身了，所以需要开放2个端口，以便能访问到。
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT           **有疑问，这个必要不必要？如果没有，会影响什么？
如果没有上面这一行，即使端口打开了，也连不上的，请好好看下状态机制
-A FORWARD -p tcp -m multiport  --dports 80,XXX -j ACCEPT      **因为开放了WEB服务，和数据服务，是否要在这个链开放这两个端口？
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT      **同样的疑问，这个必要不必要？如果没有，会影响什么？
想访问外网，请打开53端口
-A FORWARD -p tcp -m multiport --dports 53,80,443 -j ACCEPT
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
COMMIT

yhliu

好的防火墙是练出来的！多看看书吧。