请教为何DNAT在内网能访问网页,而在外网不能访问!!

camel2004

各位老大,我在作dnat端口影射时,在内网中使用公网的ip地址能够显示影射地址的网页.而在外网却拒绝?
我的对外固定公网地址是 ip:221.232.34.56
    内网网卡地址是ip:192.168.158.1
     内网web地址是:192.168.158.10   对应的外部地址是:221.232.34.60
我的脚本是:
iptables -t nat -A PREROUTING -p tcp -d 221.232.34.60   --dport 80 -j DNAT --to-destination 192.168.158.10
iptables -t nat -A POSTROUTING -p tcp -d 192.168.158.10 --dport 80 -j SNAT --to-source 192.168.158.1
现在我在内网中打入http://221.232.34.60   能打开相对应的192.168.158.10 web,但在外网却不行.没道里阿!!!  我查了查有关资料仅仅第一句语句就可以了阿?请教各位老师了

platinum

你的LINUX两个IP吗，一个221.232.34.56，另一个221.232.34.60吗？
如果是，你第二句换成
iptables -t nat -A POSTROUTING -s 192.168.158.10 -p tcp --dport 80 -j MASQUERADE

camel2004

platinum你好.我的公网ip地址221.232.34.56作防火墙, 221.232.34.60是原来放web网页的地址.现换成内网地址192.168.158.10 .内网的gw192.168.158.1.  谢谢! 我去试试.看看行不行.

platinum

哦，是这样，如果web那台机器自己有公网地址，而且它的网关不在LINUX上，则是无效的

必须把221.232.34.60绑定到LINUX上，然后让所有访问221.232.34.60的TCP-80的数据包转到192.168.158.10，并做数据包返回的转发才可以

再试试看：）

liuziyang

原帖由 "camel2004" 发表：
各位老大,我在作dnat端口影射时,在内网中使用公网的ip地址能够显示影射地址的网页.而在外网却拒绝?
我的对外固定公网地址是 ip:221.232.34.56
    内网网卡地址是ip:192.168.158.1
     内网web地址是:192.168.15..........

请这样改
iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d xxx.xxx.xxx.xxx -p tcp --dport * -j DNAT --to-destination XXX.XXX.XXX.XXX:*

www.ifelse.org
ls@ifelse.org

camel2004

谢谢liuziyang按照你的改写.外网http://221.232.34.60仍然拒绝访问.
谢谢tianci3982730 按照你的改写.外网http://221.232.34.60仍然拒绝访问.
platinum老师如果把221.232.34.60绑定到LINUX那就不是一块网卡绑定多IP吗?
另外我的221.232.34.60用花生壳进行域名解析.在外网我用xxx.vicp.net它却解析到221.232.34.56上而不是221.232.34.60.我在iptables中用221.232.34.56映射到内 网web192.168.158.10上页面是打开的.说明DNAT映射是有效的.但直接用221.232.34.60确是无效.晕! 把221.232.34.60绑定到LINUX估计是没有问题的.但如果是多个如ftp,mail,web等等ip.难道要全部绑定到linux的网卡上?我想还是从网关上动脑筋,但如何设置哪?

johnzw

顺便问一下是不是PREROUTING后面只能跟 -d, POSTROUTING后面只能跟 -s ??