ip映射后，apache怎样记录来访问服务器的主机的ip？

china_shentong

架构如下图，硬件防火墙上有两个网卡eth0和eth1，eth0的IP是100.100.100.100，eth1的IP是192.168.0.1。我的外网IP100.100.100.100的80端口映射到了内网192.168.0.2的80端口上，外网通过100.100.100.100访问内部网络192.168.0.2这台web服务器上的http应用。我查看192.168.0.2这台机器apache上的日志，发现访问ip记录都是192.168.0.1，都是网关的地址，如果我想记录下来访主机的真实ip，前提是web服务器要在硬件防火墙之后的，应该怎么做？

我的配置为：
/sbin/iptables -t nat -A PREROUTING -d 100.100.100.100 -p tcp -m tcp --dport 80 -j DNAT --to 192.168.0.2:80
/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.2 -p tcp -m tcp --dport 80 -j MASQUERADE

最后访问我的apache的地址都为：192.168.0.1，这不是我想要的结果，我想要公网的IP，请问怎么解决呢？

chenyx

/sbin/iptables -t nat -A POSTROUTING -d 192.168.0.2 -p tcp -m tcp --dport 80 -j MASQUERADE去掉看看呢

china_shentong

回复 2# chenyx

你好，如果取消这条的话，同一网段的内网依旧可以访问apache服务器，但是从外网将无法访问。

mfkwwgi

juniper可以mip到192.168.0.2;asa可以nat  static到192.168.0.2;iptables nat 好像办不到；可以在前面服务器做nginx，haproxy等等类似的服务把流量引入。

chenyx

没看懂.你在硬件防火墙上做的映射和你的iptables规则到底是什么关系呢?那个iptables规则不是在0.1上吗?0.1不是0.2的网关?

china_shentong

回复 4# mfkwwgi

你好，我在网上确实没有找到iptables的实现方法，也有人建议我使用nginx，不过这是最坏的打算了，我还是想一条iptables就能搞定。
   

china_shentong

回复 5# chenyx

你好，非常抱歉我的问题没有描述清楚，我修改了下，你再帮忙看下，多谢。
   

shiyun0321

iptables -t nat -A PREROUTING -d 100.100.100.100 -p tcp -j DNAT --to 192.168.0.2:80
iptables -t filter FORWARD -d 192.168.0.2:80 -p tcp -j ACCEPT

iptables -t filter FORWARD -s 192.168.0.2:80 -p tcp -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.2:80 -p tcp -j SNAT --to 100.100.100.100

大家帮个看下这个可行否，手头没机器就没测

chenyx

直接映射100.100到0.2的80就可以了，为啥还需要在0.1上做Nat，多此一举

zhwei228

你防火墙是什么产品？