论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2003-05-16 20:40 |只看该作者 |倒序浏览

在我的电脑上执行DNAT
iptables -t nat -A PREROUTING -i eth0 -s 202.4.156.88 -j DNAT --to-destination 1.2.3.4
后，202.4.156.88 ping我为什么ping不通？

而执行SNAT
iptables -t nat -A POSTROUTING -i eth0 -s 202.4.156.88 -j SNAT --to-source 1.2.3.4 为什么又能ping 通？

mynix

丰衣足食

论坛徽章:: 0

2楼 [报告]

发表于 2003-05-16 21:46 |只看该作者

iptables & DNAT ???

iptables -t nat -A PREROUTING -i eth0 -s 202.4.156.88 -j DNAT --to-destination 1.2.3.4

eth0：接外网的网卡？应有-d 接外网的ip吧？1.2.3.4是内网的一个ip。
介绍详细些比较好。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

guaimaow

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2003-05-16 21:56 |只看该作者

iptables & DNAT ???

这么说吧
iptables -t nat -A PREROUTING -i eth0 -s 202.4.156.88 -j DNAT --to-destination 202.4.156. 91
其中：
eth0为接内网的网卡
202.4.156.88，202.4.156.91都是内网的ip地址
我的目的主要是想将内网一个ip（202.4.156.88）发给网关（202.4.156.97）的数据包重定向到内网的另一个ip（202.4.156.91）的端口80
使用修改目的地址的方法能够实现吗？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

mynix

丰衣足食

论坛徽章:: 0

4楼 [报告]

发表于 2003-05-17 09:09 |只看该作者

iptables & DNAT ???

看看有无参考价值:
“6、3、7 修改本地生成的连接的目标地址
NAT代码允许你插入DNAT规则到OUTPUT链，不过这在2.4中尚未完全支持（可以使用，但必须用新的配置选项，某些测试中的代码。所以除非有人在疯狂的写这部分代码，我不相信它会很快实现）。
当前的限制是你只能修改目标地址到本机（例如'-j DNAT --to 127.0.0.1'），不能到任何其他机器，否则相应可能不能够被正确转换。”
“10、同一个网络内的Destination NAT。
如果你要对同一个网络做端口转发，你需要确认所有以后的包和回应包都通过NAT服务器（这样它们才能被修改）。NAT代码现在（自2.4.0-test6），会屏蔽掉同组的被NAT的包送出的ICMP重定向，不过收到的服务器会继续尝试直接响应客户。（不会理解这个回应）
经典的情况是，内部人员试图访问你的“公用”Web服务器，而它实际上从公用地址（1.2.3.4）被DNAT到内部机器（192.168.1.1），例如：
# iptables -t nat -A PREROUTING -d 1.2.3.4 -p tcp --dport 80 -j DNAT --to 192.168.1.1
一种办法是运行一台内部DNS服务器，它知道你的公用（外部）Web服务器的真实的（内部）IP地址，并转发所有其他请求到外部DNS服务器。也就是说你的Web服务器能够记录真实的内部IP地址。
另一种办法是让NAT服务器映射那些连接的源地址到它自己，让服务器通过它发出响应。例如，我们可以这样做（假设NAT服务器内部IP地址是192.168.1.250）：
# iptables -t nat -A POSTROUTING -d 192.168.1.1 -s 192.168.1.0/24 -p tcp --dport 80 -j SNAT --to 192.168.1.250
因为PREROUTING规则会首先运行，对内部Web服务器来说，包的去向早已确定。我们可以确定好源IP地址。
”