可不可以提问IPTABLES 转发的问题？？

nisshinzgz

我用RAHHAT9作了一台NAT代理服务器，假设外部ip:61.133.15.160,内部的ip为192.168.0.254,我的2K服务器放在内部,地址为192.168.0.10并安装了RADMIN远程控制软件端口默认是4899,我想在外部通过防火墙外部地址的4899端口，用RADMIN客户端来访问内部的WIN2K服务器可总是不成功，命令如下：
iptables -t nat -A PREROUTING -d 66.133.15.160 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.0.10:4899
iptables -t nat -A POSTROUTING  -d 192.168.0.10 -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 4899 -j SNAT --to 192.168.0.254

代理服务器端TCP检测如下：
[root@forwawd root]# tcpdump tcp port 4899
tcpdump: listening on eth0
22:46:05.188558 221.0.159.17.1224 > 61.133.15.160.4899: S 1544508777:1544508777(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
22:46:05.188692 61.133.15.160.4899 > 221.0.159.17.1224: R 0:0(0) ack 1544508778 win 0 (DF)
22:46:05.745958 221.0.159.17.1224 > 61.133.15.160.4899: S 1544508777:1544508777(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
22:46:05.746051 61.133.15.160.4899 > 221.0.159.17.1224: R 0:0(0) ack 1 win 0 (DF)
22:46:06.351823 221.0.159.17.1224 > 61.133.15.160.4899: S 1544508777:1544508777(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
22:46:06.351900 61.133.15.160.4899 > 221.0.159.17.1224: R 0:0(0) ack 1 win 0 (DF)

以上命令用3389端口也全部失败，请大家帮忙指正错误！谢谢
以上已经打开了echo 1 〉/proc/sys/net/ipv4/ip_forward

[ 本帖最后由 nisshinzgz 于 2005-11-17 23:20 编辑 ]

tidezcy

你的 <iptables -t nat -A POSTROUTING  -d 192.168.0.10 -s 192.168.0.0/255.255.255.0 -p tcp -m tcp --dport 4899 -j SNAT --to 192.168.0.254> 这句有问题,在手册页面的iptables指南好好看看.http://man.chinaunix.net/network/iptables-tutorial-cn-1.1.19.html

设ppp0为你的外网网卡(若是固定IP,为eth0),eth1为内网网卡,启用转发,NAT后,用以下两句就ok了,同时你内网PC的网关要指向这台linux.
iptables -A FORWARD -i ppp0 -p tcp --dport 4899 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0  -p tcp --dport 4489 -j DNAT --to 192.168.0.10:4899

[ 本帖最后由 tidezcy 于 2005-11-18 10:44 编辑 ]

枫影谁用了

FORWARD添加相应的规则即可

nisshinzgz

tidezcy你好,首先感谢你的帮助.我将你给我的那两条规则加到IPTABLES后，远程还是不能访问。
已经确认内网WIN2K的RADMIN服务已经打开了。另外我公网是固定IP接在eth0，内网接eth1，WIN2K服务器网关指向eth1。下面是我iptables表的规则
[root@forwawd root]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere           tcp dpt:4899 state NEW

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@forwawd root]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  anywhere             anywhere           tcp dpt:4899 to:192.168.0.10:4899

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[ 本帖最后由 nisshinzgz 于 2005-11-18 13:51 编辑 ]

tidezcy

没理由的啊,我的就是这样用的,你试一下别的port转发怎么样,比如开一下内网的80口试一下,可否贴一下你的iptables脚本.

echo 1 〉/proc/sys/net/ipv4/ip_forward
iptables -A FORWARD -i eth0 -p tcp --dport 4899 -m state --state NEW -j ACCEPT
iptables -t nat -A PREROUTING -i eth0  -p tcp --dport 4489 -j DNAT --to 192.168.0.10:4899
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -j MASQUERADE

[ 本帖最后由 tidezcy 于 2005-11-18 14:20 编辑 ]

nisshinzgz

真是不好意思tidezcy，刚才又清空iptables表，重新试了一下你给我的两个规则，现在已经能够连接上了。
非常感谢tidezcy给予我的帮助。谢谢

tidezcy

原帖由 nisshinzgz 于 2005-11-18 14:53 发表
真是不好意思tidezcy，刚才又清空iptables表，重新试了一下你给我的两个规则，现在已经能够连接上了。
非常感谢tidezcy给予我的帮助。谢谢

不用客气,都是这样过来的.