求教iptables+squid做透明代理iptables设置问题

cz

我用iptables+squid做透明代理
内网为172.24.0.0/19接口为eth0，限定其只能访问外网的一台web服务器202.114.16.12,公网eth1的ip202.116.52.6
squid工作在透明代理方式，监听80端口，配置没有问题
iptables配置命令如下
iptables -t nat -A PREROUTING -p tcp -i eth0 -j DNAT --to 202.114.16.12
iptables -t nat -A PREROUTING -p tcp -d 202.114.16.12 -j REDIRECT --to-port 80
iptables -t nat -A POSTROUTING -o eth1 SNAT --to 202.116.52.6
结果可以上网，但是数据没有经过squid
我怀疑是不是一个包经过PREROUTING时匹配第一条规则
iptables -t nat -A PREROUTING -p tcp -i eth0 -j DNAT --to 202.114.16.12后就直接跳出PREROURING链了，不会再去匹配第二条规则了，所以iptables -t nat -A PREROUTING -p tcp -d 202.114.16.12 -j REDIRECT --to-port 80在这里根本就没有起作用
究竟DNAT对包做完操作之后，包还会继续和其他的规则比较又或者不再继续比较当前链中的其他规则或父链中的其他规则直接跳出这条链呢？

liheng

晕倒～～～～～～～～～｀
规则都写出错了，
#!/bin/bash
echo "starting iptables rules"
echo "1" > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t nat -Z
/sbin/iptables -P INPUT DROP
/sbin/iptables -A INPUT -i eth1 -s  202.114.16.12 -p tcp --sport 80 \
--dport 1024:65535 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 172.24.0.0/24 --sport 1024:65535 -d 202.114.16.12 --dport 80 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT \
--to-ports 3128
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j  SNAT --to-source 202.116.52.6
用这个脚本 试一下，应该就可以了

[ 本帖最后由 liheng 于 2007-5-20 15:47 编辑 ]

liheng

每个命令有什么用，我就不解释了吧，自己慢慢琢磨吧，不行的话，再留言，大家一起解决