用iptables给内网的windows服务器做地址映射的问题

panxiangjia

前提：iptables网关服务器工作很好，代理上网和给几台linux服务器做地址映射都没问题。可是给windows FTP服务器做地址映射却不灵

网关服务器 内网地址是192.168.1.254 ,外网地址y.y.y.y（在eth0上捆其他几个ip地址，包括windows FTP服务器的外网地址x.x.x.x）
windows FTP服务器地址是192.168.1.8

网关服务器上的 iptables规则：

echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
ip addr add x.x.x.x/27 dev eth0
.
.
.
iptables -F
iptables -t nat -F
iptables -t nat -I PREROUTING -p tcp --dport 445 -j DROP
iptables -t nat -I PREROUTING -p udp --dport 445 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 139 -j DROP
iptables -t nat -I PREROUTING -p udp --dport 139 -j DROP
iptables -t nat -I PREROUTING -p udp --dport 135 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 135 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6881 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6882 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6883 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6884 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6885 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6886 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6887 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6888 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6889 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6890 -j DROP
iptables -t nat -I PREROUTING -p tcp --dport 6891 -j DROP
iptables -I INPUT -s 192.168.1.0/24 -j ACCEPT
iptables -I INPUT -s 127.0.0.1 -j ACCEPT
iptables -I INPUT -p tcp --dport 20002 -j ACCEPT
iptables -I INPUT -p udp --dport 11161 -j ACCEPT
iptables -I INPUT -p udp --dport 53 -j ACCEPT
iptables -I INPUT -p tcp --dport 53 -j ACCEPT
iptables -I INPUT -p tcp --dport 21 -j ACCEPT
iptables -I INPUT -p tcp --dport 3389 -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -P INPUT DROP

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.1/24 -j SNAT --to y.y.y.y
iptables -t nat -I PREROUTING -d x.x.x.x -j DNAT --to-destination 192.168.1.8
iptables -t nat -I POSTROUTING -s 192.168.1.8-j SNAT --to-source x.x.x.x
iptables -I FORWARD -s 192.168.1.8 -j ACCEPT
iptables -I FORWARD -p icmp -d 192.168.1.8 -j DROP
iptables -I FORWARD -d 192.168.1.8 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d 192.168.1.8 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -d 192.168.1.8 -j DROP


可是配置完以后，从外网输入ftp：//x.x.x.x：21死活连不上windows FTP服务器（192.168.1.8）。郁闷！哪位高手帮分析分析啥原因？谢谢。

我有个想法，是不是因为window的路由问题呢？以下是windows FTP服务器（192.168.1.8）路由表：
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
          0.0.0.0          0.0.0.0    192.168.1.254     192.168.1.8       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.1.0    255.255.255.0      192.168.1.8     192.168.1.8       1
      192.168.1.8  255.255.255.255        127.0.0.1       127.0.0.1       1
    192.168.1.255  255.255.255.255      192.168.1.8     192.168.1.8       1
        224.0.0.0        224.0.0.0      192.168.1.8     192.168.1.8       1
  255.255.255.255  255.255.255.255      192.168.1.8     192.168.1.8       1
Default Gateway:     192.168.1.254
===========================================================================