SNAT DNAT 返回包
NAT中,内网经过PREROUTING,FORWARD,POSTROUTING出去后,返回包还是按同样顺序再经过这3个链吗? 比如内网访问外网WWW服务后, 从外网WWW服务器返回的数据包,还是要按顺序再经过PREROUTING,FORWARD,POSTROUTING三个链吗? 如果是这样的话,在所有filter和nat的链默认均DROP的情况下(不考虑其他情况), 实现snat,是否每条链都要同时定义关于源端口和目的端口的规则?谢谢 #iptables -P INPUT DROP #ipt...
by rekcah0 - Linux系统管理 - 2007-06-14 11:34:48 阅读(5261) 回复(5)
snat问题 eth0 192.168.1.2 可上网. eth1 10.0.0.2 #iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j snat --to-source 192.168.1.200 这两个IP地址都是内网的可以吗? dnat问题 服务器1 eth0 外网ip1 服务器2 eth0 外网ip2 其中ip1和ip2是不同网段的 #iptables -t nat -A PREROUTING -d ip1 -j dnat --to-destination ip2 这样行吗? 在线等.............
snat问题 eth0 192.168.1.2 可上网. eth1 10.0.0.2 #iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j snat --to-source 192.168.1.200 这两个IP地址都是内网的可以吗? dnat问题 服务器1 eth0 外网ip1 服务器2 eth0 外网ip2 其中ip1和ip2是不同网段的 #iptables -t nat -A PREROUTING -d ip1 -j dnat --to-destination ip2 这样行吗? 在线等.............
请教各位大虾: 读了linux nat how to的文章,感觉受益匪浅 有几段含义,反复琢磨没有搞清楚 所以请大家指教 Source NAT [code]是指修改第一个包的源地址:也就是说,改变连接的来源地。Source NAT会在包送出之前的最后一刻做好post-routing(动作),伪装是snat的一种特殊形式。[/code] 不明之处: 修改包的源地址,什么意思呢? 就是修改局域网内的主机的ip(非法ip)吗 伪装就是"穿上合法ip的外衣"吗 Destination NAT [code]...
请教各位大虾: 读了linux nat how to的文章,感觉受益匪浅 有几段含义,反复琢磨没有搞清楚 所以请大家指教 Source NAT [code]是指修改第一个包的源地址:也就是说,改变连接的来源地。Source NAT会在包送出之前的最后一刻做好post-routing(动作),伪装是snat的一种特殊形式。[/code] 不明之处: 修改包的源地址,什么意思呢? 就是修改局域网内的主机的ip(非法ip)吗 伪装就是"穿上合法ip的外衣"吗 Destination NAT [code]...
ftp 1.ftp模块: modprobe ip_nat_ftp modprobe ip_conntrack_ftp 2. iptables -t nat -A PREROUTING -p tcp -d a.b.c.d --dport 21 -j dnat --to a.b.c.d (修改目标地址为10.11.22.11,21port的包为目址为:10.11.22.13,用于进来的包) iptables -t nat -A POSTROUTING -d a.b.c.d1 -p tcp --dport 21 -j snat --to a.b.c.d (修改源地址IP a.b.c.d -> a.b.c.d) iptables -A FORWARD -s a.b.c.d/24 -d 0/0 -j ACCEPT 注: dnat 修改目标...
环境: CLIENT 192.168.56.1 WINDOWS SERVER 192.168.56.101 CENTOS 我在S端添加一条 iptabels -t nat PREROUTING -p tcp -d 192.168.56.101 --dport=9999 -j dnat --to-destination=192.168.56.101:3306 这时我在S端用tcpdump -i eth1 port 3306抓包 C端用telnet 192.168.56.101 3306 时S端能看到包文 当C端telnet 192.168.56.101 9999 时S端就看到不包文 这是为什么?IPTABLES不是把9...
有个没看明白的地方,pc1发包网桥的snat如果只是修改源MAC地址,传到pc2,有个包再回来,这时如何确定回程包的目的地址?如果仅仅是修改目的地址,那pc1这边有多台机做了snat,如何确定回来改传给谁?
环境:三台电脑 192.168.1.120 (linux server,ftp,http) 192.168.1.100 (linux iptables) 192.168.1.86 (windows client) 实验: 在100上通过iptables做snat,dnat,使得86能通过192.168.1.100间接访问ftp/http服务器120 120: 启动ftp服务并保证能被正常访问 100:配置iptables防火墙实现snat,dnat功能 开启forward功能: echo "1">/proc/sys/net/ipv4/ip_forward 或更改 /etc/sysctl.conf (net.ipv4.ip_forwar...
今天修改iptables规则是突然意识到自己对snat 和 dnat 一点都不了解 找了篇文章恶补一下 自:http://www.cublog.cn/opera/showart.php?blogid=9151&id=91547 其实所谓的snat,dnat就是对数据包的源地址和目的地址进行修改,并且保存修改前后的映射关系,并且根据需要进行还原操作。snat:出去的时候改变原地址(snat),回来的时候改变目的地址(un_snat)dnat:进来的时候改变目的地址(dnat),出去的时候改变源地址(un_dnat) 而所谓...
