iptables端口映射的问题－－－救救我吧

wd

执行了。

網中人

FORWARD 被 DROP 了.
請改一下吧.

wd

我发现了，sigh。多谢大家了。

水中风铃

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 23 -j DNAT --to-destination host1:23
iptables -t nat -A POSTROUTING -p tcp -m tcp  --dport 23 -d host1  -j SNAT --to-source local_ip
不太理解啊
红色部份是为什么，不能直接-p tcp吗？为什么要多个-m tcp？

platinum

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 23 -j DNAT --to-destination host1:23
这个有逻辑上的BUG
转发所有通过3层的TCP协议的23数据包到host1
这样，无论是从外面进来，还是从里面出去的，都跑到host1去了

解决方法有二
假如你的LAN是192.168.1.0/24，假如你的WAN是1.2.3.4
1、iptables -t nat -A PREROUTING -s ! 192.168.1.0/24 -p tcp --dport 23 -j DNAT --to host1
2、iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 23 -j DNAT --to host1

rainingant

iptables -t nat -A PREROUTING -p tcp --dport 23 -j DNAT --to host
就一句话就可以

platinum

原帖由 "rainingant" 发表：
iptables -t nat -A PREROUTING -p tcp --dport 23 -j DNAT --to host
就一句话就可以

看你要实现什么
你这样是有可能存在逻辑问题的

PREROUTING转发所有的包，无论是进来的还是出去的，都被转到了host1上
这就意味着，如果是内网用户去telnet远程一个路由器去管理的话，他的数据包将转向host1，而不是那个路由器

就这个问题，需要特殊指定来源或者目的，才算完美，当然，也要看需求，要看是“对内”还是“对外”，或者是“全部”？

简简单单的iptables -t nat -A PREROUTING -p tcp --dport 23 -j DNAT --to host是不行的。。。。