用iptables做路由转发数据包跑去哪了?

懒惰的小兵

环境情况如下(以下用的是内网表述,实际上3个都是公网IP,在不同的地方)
A:192.168.1.1 客户端

B:192.168.2.2 跑iptables

C:192.168.3.3 跑apache

3台都是独立网段，网络上无任何交集。
想要实现根据源IP判断转发.
A-> 访问B:80 (通过iptables) 转发给-> C:80 （都是独立网段)


目前是这样配的:
iptables -A INPUT -j ACCEPT

iptables -A OUTPUT -j ACCEPT

iptables -A FORWARD -j ACCPET

iptables -t nat -A PREROUTING -p tcp -s 192.168.1.1 -d 192.168.2.2 --dport 80 -j DNAT --to-destination 192.168.3.3:80

iptables -t nat -A PREROUTING -p tcp -s 192.168.3.3 -j DNAT --to-destination 192.168.1.1


发现数据包,走过PREROUTING链后,似乎没有通过FORWARD链.
要实现上面描述的转发，要如何做呢？数据包去哪了~~??

yestreenstars

请问你1网段和2网段之间是怎么通讯的？

懒惰的小兵

3个网段，实际上都是公网IP。
想通过iptables 根据源IP 控制走向。

懒惰的小兵

回复 2# yestreenstars
感谢回复.
3个网段，实际上都是公网IP。
因为服务器B作为入口，跑着业务暂时无法更换或者停止，想通过服务器B的iptables 根据源IP 控制走向。

yestreenstars

回复 4# 懒惰的小兵

原来如此，那我建议你采用转发的方式实现，因为我也有跟你类似的情况，我是用haproxy实现的～
   

懒惰的小兵

回复 5# yestreenstars
由于各种权限问题，目前只能考虑iptables,很是困惑~


   

懒惰的小兵

回复 5# yestreenstars
由于各种权限问题，目前只能考虑iptables,很是困惑~


   

yestreenstars

你试一下这个：

1. echo 1 > /proc/sys/net/ipv4/ip_forward
   
2. iptables -t nat -A PREROUTING -d 192.168.2.2 -p tcp --dport 80 -j DNAT --to-destination 192.168.3.3:80
   
3. iptables -t nat -A POSTROUTING -j MASQUERADE

复制代码

懒惰的小兵

回复 8# yestreenstars

万分感谢！功能实现了，想必是这条命令的关系
iptables -t nat -A POSTROUTING -j MASQUERADE

MASQUERADE 参数干嘛用的我自己去看。
再次感谢。

yestreenstars

回复 9# 懒惰的小兵

如果不用MASQUERADE的话，我也不知道怎么做，我有空研究一下，如果可以再告诉你。