ip映射问题

jinxyu

我用LINUX做了个代理服务器,双网卡,动态IP,域名是LINUX用花生壳解析的,HYXXJM.VICP.NET
内网网卡IP192.168.0.1
异地的外网可以访问HTTP://HYXXJM.VICP.NET
而 192.168.0.0/24网段不能通过HTTP://HYXXJM.VICP.NET来访问站点,我该如何做,该怎么培植IPTABLES才能解决这个问题

请赐教
谢谢

kenduest

原帖由 jinxyu 于 2006-7-9 20:21 发表
我用LINUX做了个代理服务器,双网卡,动态IP,域名是LINUX用花生壳解析的,HYXXJM.VICP.NET
内网网卡IP192.168.0.1
异地的外网可以访问HTTP://HYXXJM.VICP.NET
而 192.168.0.0/24网段不能通过HTTP ...

首先，你似乎贴错讨论版了，你应该上网络讨论版，而不是系统管理这个版。

再者你描述资讯太少了，不足以判断问题点。也许你该提供的是:

1. 你的 web 网页服务就是 [url]HTTP://HYXXJM.VICP.NET 站台？这台是实际的 web server，还是被 DNAT 过到内部的 web server ?

2. 你的 web 站台本身也当 NAT 服务提供内部来源 ip 可以透过这台主机连线到外面？但是可以存取外面机器，但无法存取 HTTP://HYXXJM.VICP.NET  页面？

3. 你有没有跑 squid proxy server？另外有任何 iptables rule？内容应该贴来看。

==

jinxyu

/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

#/sbin/iptables -P INPUT DROP
#/sbin/iptables -P FORWARD DROP
#/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A FORWARD -i lo -j ACCEPT
/sbin/iptables -A FORWARD -i eth0 -j ACCEPT

/sbin/iptables -A OUTPUT -o eth0 -p tcp --dport 31337:31340 --sport 31337:31340 -j DROP
/sbin/iptables -A FORWARD -o eth0 -p tcp --dport 31337:31340 --sport 31337:31340 -j DROP
                                                                                
#/sbin/iptables -A INPUT -p icmp --icmp-type echo -j DROP
                                                                                
#/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j DROP
                                                                                


#/sbin/iptables -A FORWARD -s 192.168.59.219 -m mac --mac-source 00:07:E9:4F:A0:C9 -j ACCEPT
                                                                                                
/sbin/iptables -t nat -A PREROUTING  -i eth0 -p tcp  --dport 80 -j DNAT  --to  192.168.0.222:80

/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

/sbin/iptables -A INPUT -i eth1 -p tcp -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -p udp -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A PREROUTING -p udp --dport 53 -j ACCEPT

        先帮我看看了

kenduest

原帖由 jinxyu 于 2006-7-9 20:51 发表
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

你只是给 iptables 设定而已，你没说清楚你的 web 服务是怎样提供的，包含前面提问的两点问题。

目前资讯不足以判断问题点。

==

[ 本帖最后由 kenduest 于 2006-7-9 20:55 编辑 ]

wxp95

web server應該是192.168.0.222:80， 外部訪問通過DNAT;
摟主是想問192.168.0.0/24網段(web server在這個網籪内）的其他機器怎樣通過那個域名訪問web server.

/sbin/iptables -t nat -A PREROUTING  -i eth0 -p tcp  --dport 80 -j DNAT  --to  192.168.0.222:80
eth0過來的DNAT了

[ 本帖最后由 wxp95 于 2006-7-9 21:21 编辑 ]

kenduest

就你提到的 rule 来说:

1. iptables -t nat -A PREROUTING  -i eth0 -p tcp  --dport 80 -j DNAT  --to  192.168.0.222:80

复制代码

也许你的 web server 是透过 DNAT 处理的。

若你说刚好内部 ip 无法看到你 eth0 ip 该 port 80 的 web 服务，有篇 NAT HOWTO 片段是这样说的，你可以看看:

http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-10.html

里面描述内第二个 rule 就是你要的，也就是设定一个 SNAT 避免该连结会失败的问题。不过在新版本 kernel/netfilter 上，已经不用该配置规则了，除非是使用比较陈旧的发行版本才会有该问题。

题外话，也许你的 firewall rule 应该简化一下，FORWARD 与 INPUT 有禁止的先 comment out 掉，这样除错才会单纯。

==