做NAT后如何获得从外网访问的真实IP？

diekiss

在这里也问过，不过人气太少 http://www.gd-linux.com/bbs/showthread.php?t=2989

打算用一台Linux实现共享上网、指向内部一台web服务器，于是按照最傻瓜的思路，准备两个外网IP，一个用于共享上网，一个用于专门访问内网的web服务器
下面是实现脚本，基本实现上面的两个要求
但是我发现web服务器那里不能够取得真实的客户端地址，所有外网访问的客户端IP都变成了10.168.172.254，请问怎么设置才能取得真实的客户端IP呢？
另外，能不能将两个互联网IP精简到一个呢？毕竟互联网的IP比较贵。
最后，当然是希望各位看官能够指出其中不安全的地方，让我好向老板交代吧。谢谢各位!

# eth0 = 10.168.172.254 (内网)
# eth1 = 61.143.A.B (互联网IP)
# eth1:0 = 61.143.A.C (互联网IP)(跟上面的eth1同一个网卡)
# 上述已经设置好，可用。
#
# 操作目标:
# 1.使得内网的计算机的网关用 10.168.172.254 就能访问互联网，浏览网页、上QQ等；
# 2.使得互联网上的用户输入 61.143.A.C 或 www.xxxxxx.com (指向61.143.A.C) 就能访问内网的OA服务器，并且被web识别真实IP（即通过互联网访问时候，web服务器得到客户端的IP不是10.168.172.254而是客户端的互联网IP


# 允许转发

echo 1 >; /proc/sys/net/ipv4/ip_forward

# 共享一个Internet连接 针对 61.143.A.B

iptables -t nat -A POSTROUTING -s 10.168.172.0/24 -o eth1 -j SNAT --to 61.143.A.B

# 指向内部OA服务器 针对 61.143.A.C

iptables -t nat -A PREROUTING -d 61.143.A.C -p tcp --dport 80 -j DNAT --to 10.168.172.242
iptables -t nat -A POSTROUTING -d 10.168.172.242 -p tcp --dport 80 -j SNAT --to 10.168.172.254

apen

方式有点问题，从内向外用NAT，从外向内如果也用NAT的话，就会出现你说的情况，用端口映射就行了，在这种情况下，系统还是做了一个NAT，但方式不一样，在你定义的规则中从A发向B的请求被防火墙转换为B到C的请求，地址就不对了，在端口重定向下，从A发向B的请求，转换后成为从A发向C的请求，做的是DNAT而不是SNAT，这样地址就不会错了。

diekiss

可以给个例子吗？因为我这里的特殊情况是 外网网卡绑定两个IP，一个用作共享上网，另一个用在对外的OA访问，而iptables 中不可以这样写： eth1:0 ，系统提示不支持 eth0:0 这样的写法

diekiss

是不是修改这个以下的规则就可以了？

# 指向内部OA服务器 针对 61.143.A.C
.....

diekiss

细读了《Iptables 指南1.1.19》一部分，其中关于DNAT 和SNAT，提出这种情况解决不了。无奈了。

platinum

没细看内容，但可以肯定的是，SNAT 或 MASQUERADE 设置的问题，匹配的东西太多了，该转的、不该转的，都被转了

diekiss

http://www.linuxsir.org/bbs/showthread.php?t=226633

这是Linuxsir上的讨论