linux主机 如何配置iptables 使小网ip伪装成公网出去

chenyx

这个还真没研究过,让@platinum版主看看

ben123one

@chenyx  @platinum

感觉除非在交换机划分vlan，否则貌似还真没办法解决这个ip冲突。但是在运营商 那边，交换机是不会让你随便设置的，所以这个方案是不行的。

不过-t nat -A OUTPUT和-t filter -A OUTPUT的区别是什么呢？
首先说nat，数据包先到nat表的prerouting，然后到filter表的forward，然后到nat表的postrouting，然后就出去了？问题：那么nat的output链什么时候进入呢？
再说filer，数据包先到filter的INPUT，然后经过应用程序处理，然后进入OUTPUT发送出去。

其实不管是nat还是filter，数据包第一个先检查prerouting，然后判断目的地址，如果是本地的，则进入input；如果非本地，则进入forward。
分支1：进入input时，经过应用程序处理，然后通过output发送，最后经过postrouting发送出去。
分支2：进入forward时，经过filter链forward的处理，最后也经过postrouting发送出去。

以上是理想条件，也就是说，假设nat链没有，那么第一个就不是先进入prerouting，而是直接通过路由判断目的地址是本地还是外地,，当然，最后出去的时候，也不会经过postrouting。

不知道我的理解对不对，但是我所做的假设，就是没发现nat表的OUTPUT链何时被经过？
以上参考
http://blog.csdn.net/herostarone/article/details/7835659




回复 11# chenyx


   

platinum

chenyx 发表于 2012-08-06 21:19
这个还真没研究过,让@platinum版主看看

现在论坛也能 @ 了？落伍了。。。

从楼主的需求分析，只能在交换机上划分 VLAN 了，或者弄两个小交换，把两个网络物理隔开也可以

chenyx

划分vlan,还不如直接修改它的那个所谓的"小网"的ip段呢,反正我觉得,他小网之间联系不是很密切,基本上都是公网ip在通信.
@platinum,白金版,你觉得呢?

platinum

chenyx 发表于 2012-08-07 20:37
划分vlan,还不如直接修改它的那个所谓的"小网"的ip段呢,反正我觉得,他小网之间联系不是很密切,基本上都是公 ...

是的，用 192.168.1.0/24 和 192.168.2.0/24 逻辑分离，是最简单不过的办法了
不知道为什么楼主一定要用同一网段测试

chenyx

我也不清楚楼主的想法,他把简单的问题复杂化了,还想用iptables来弥补.

ben123one

其实就是为了 方便安装，因为我在linux上装了windows虚拟机，windows虚拟机通过将网管设置为linux的小网ip，开启linux路由功能，并nat出去上网。

假设linux小网ip固定的话，那么我就可以不用每次都得改虚拟机的网关了。



回复 15# platinum


   

ben123one

本地数据包从本地 出去时，将192.168.1.* 伪装成公网ip确实不行吗？



回复 16# chenyx


   

platinum

ben123one 发表于 2012-08-08 08:55
本地数据包从本地 出去时，将192.168.1.* 伪装成公网ip确实不行吗？

当然可以呀，这是 iptables 最简单的功能之一，具体方法可以参考相关教程

chenyx

ip伪装肯定是可以的,但是你小网ip冲突是没法解决的,除非像白金说的那样,做到物理隔离