請教雙網(wǎng)卡linux網(wǎng)關(guān)80端口問題

瘋癲二楞子

用雙網(wǎng)卡linux機(jī)器制作網(wǎng)關(guān)，外網(wǎng)電信IP，內(nèi)網(wǎng)192.168.1.0/24，開啟IP轉(zhuǎn)發(fā)，并做NAT。內(nèi)網(wǎng)一臺(tái)機(jī)器的站點(diǎn)映射出去讓外網(wǎng)訪問。

網(wǎng)關(guān)上：
######################
linux:~ # iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere   
######################
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          3149      
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      0          6982      
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          5766      
tcp        0      0 :::389                  :::*                    LISTEN      0          4745      
tcp        0      0 :::80                   :::*                    LISTEN      0          311174     
tcp        0      0 :::22                   :::*                    LISTEN      0          196905     
tcp        0      0 ::1:25                  :::*                    LISTEN      0          5767
######################
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j ACCEPT
-A FORWARD -j ACCEPT
-A OUTPUT -j ACCEPT
COMMIT
-A PREROUTING -d 125.x.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.3:80
-A PREROUTING -d 125.x.x.x -p tcp -m tcp --dport 110 -j DNAT --to-destination 192.168.1.4:110
-A PREROUTING -d 125.x.x.x -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.4:25
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to-source 125.x.x.x
######################

root     11889  0.0  0.7  3420 1716 ?        Ss   Feb12   0:00 /data/apache/bin/httpd -k start
nobody   11890  0.0  1.6  7596 3664 ?        S    Feb12   0:00 /data/apache/bin/httpd -k start
nobody   11891  0.0  1.5  7596 3560 ?        S    Feb12   0:00 /data/apache/bin/httpd -k start
######################
現(xiàn)象：

外網(wǎng)wget：
Connecting to 125.x.x.x:80... failed: Connection timed out.
Retrying.
######################
內(nèi)網(wǎng)和本機(jī)wget：
--10:28:37--  http://125.x.x.x/
           => `index.html.1'
Connecting to 125.x.x.x:80... 已連接。
已發(fā)出 HTTP 請求，正在等待回應(yīng)... 200 OK
長度：未指定 [text/html]

    [ <=>                                                                              ] 8,932         --.--K/s            

10:28:37 (10.19 MB/s) - `index.html.1' saved [8932]
######################
外網(wǎng)地址telnet該網(wǎng)關(guān)，22、25、111、3306其他任何端口都可以，但是telnet80就一直不通
######################
郵件收發(fā)，上網(wǎng)及其他訪問都很正常，就是外網(wǎng)無法訪問內(nèi)網(wǎng)的站點(diǎn)頁面。
######################
假設(shè)電信沒有做防火墻限制的話，請問出現(xiàn)這個(gè)狀況大概是啥原因，網(wǎng)絡(luò)？還是系統(tǒng)設(shè)置?如何搞定呢？感謝。

瘋癲二楞子

難道真的很差勁的問題哇？都掉頁了。

marsaber

給出個(gè)腳本，看是否對你有用。
修改/etc/sysctl.conf
net.ipv4.ip_forward = 1
然后執(zhí)行：sysctl -p

iptables腳本：

#!/bin/bash
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to 125.x.x.x
/sbin/iptables -t nat -A PREROUTING -d 125.x.x.x -p tcp --dport 25 -j DNAT --to 192.168.1.4:25
/sbin/iptables -t nat -A PREROUTING -d 125.x.x.x -p tcp --dport 80 -j DNAT --to 192.168.1.3:80
/sbin/iptables -t nat -A PREROUTING -d 125.x.x.x -p tcp --dport 110 -j DNAT --to 192.168.1.4:110

前提125.x.x.x網(wǎng)關(guān)不提供80服務(wù)。
另外，內(nèi)網(wǎng)其他客戶機(jī)能正常訪問192.168.1.3的web服務(wù)不？

瘋癲二楞子

好的，我測試一下哈。

先感謝一個(gè)。

停掉網(wǎng)關(guān)的apache是，OK。

恩，內(nèi)網(wǎng)的現(xiàn)在都是全部能訪問的。

瘋癲二楞子

貌似還是wget不到哈。

對了，從外網(wǎng)ping域名是能解析到地址的，ping地址也是通的，所以我一直不曉得到底是網(wǎng)絡(luò)問題還是設(shè)置問題。

marsaber

看看內(nèi)網(wǎng)192.168.1.3下提供下載的文件的權(quán)限。

瘋癲二楞子

|:80... 已連接。
已發(fā)出 HTTP 請求，正在等待回應(yīng)... 200 OK
長度：33,233 (32K) [image/jpeg]

100%[=================================================================================>] 33,233        --.--K/s            

17:46:25 (6.47 MB/s) - `m_banner.jpg' saved [33233/33233]

--17:46:25--  http://./
           => `index.html'
正在解析主機(jī) .... 失�。何粗�的名稱或服務(wù)。

下載完畢 --17:46:25--
下載了：33,233 字節(jié)，共 1 個(gè)文件
# ll
總計(jì) 36
-rw-r--r-- 1 root root 33233 2007-04-18 10:38 m_banner.jpg

marsaber

？？？
可否說明白點(diǎn)？
比如：
wget
實(shí)際下載的是
還是？？？

瘋癲二楞子

下班了 ，暫時(shí)沒辦法調(diào)試了，多謝兄臺(tái)。

瘋癲二楞子

原帖由 江湖無賴 于 2003-9-18 11:35 發(fā)表
怎么用iptable完成端口映射?

Q：一局域網(wǎng)192.168.1.0/24，有web和ftp服務(wù)器192.168.1.10、192.168.1.11,網(wǎng)關(guān)linux，內(nèi)網(wǎng)eth0，IP為192.168.1.1，外網(wǎng)eth1，IP為a.b.c.d，怎樣作NAT能使內(nèi)外網(wǎng)都能訪問公司的服務(wù)器？
A：# web
# 用DNAT作端口映射
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
# 用SNAT作源地址轉(zhuǎn)換（關(guān)鍵），以使回應(yīng)包能正確返回
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
# 一些人經(jīng)常忘了打開FORWARD鏈的相關(guān)端口，特此增加
iptables -A FORWARD -o eth0 -d 192.168.1.10 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.10 -p tcp --sport 80 -m --state ESTABLISHED -j ACCEPT

# ftp
modprobe ip_nat_ftp ###加載ip_nat_ftp模塊（若沒有編譯進(jìn)內(nèi)核），以使ftp能被正確NAT
modprobe ip_conntrack_ftp ###加載ip_conntrack_ftp模塊
# 用DNAT作端口映射
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 21 -j DNAT --to 192.168.1.11
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 21 -m --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 20 -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 20 -m --state ESTABLISHED -j ACCEPT
iptables -A FORWARD -o eth0 -d 192.168.1.11 -p tcp --dport 1024: -m --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -s 192.168.1.11 -p tcp --sport 1024: -m --state ESTABLISHED -j ACCEPT
# 用SNAT作源地址轉(zhuǎn)換（關(guān)鍵），以使回應(yīng)包能正確返回
iptables -t nat -A POSTROUTING -d 192.168.1.11 -p tcp --dport 21 -i eth0 -j SNAT --to 192.168.1.1

Q：網(wǎng)絡(luò)環(huán)境如上一問題，還在網(wǎng)關(guān)上用squid進(jìn)行透明代理，也作了SNAT了，為什么內(nèi)網(wǎng)還是不能訪問公司的web服務(wù)器?iptables如下：
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1
A：問題主要在PREROUTING鏈中REDIRECT和DNAT的順序，由于先進(jìn)行了REDIRECT（重定向），則到第二句DNAT時(shí)，端口已變?yōu)?128，不匹配第二句的目的端口80，DNAT也就不會(huì)執(zhí)行，不能到達(dá)正確的目的地。解決的辦法有兩個(gè)：
1、把REDIRECT語句放到DNAT語句的后面，如下：
iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128
2、在REDIRECT語句中增加匹配目的地址"-d ! a.b.c.d"，如下：
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! a.b.c.d -p tcp --dport 80 -i eth0 -j REDIRECT --to 3128

按照這位兄臺(tái)說的嘗試添加源地址轉(zhuǎn)換和REDIRECT語句，貌似還是有問題。

因?yàn)?m tcp --dport 80 -j DNAT --to-destination 192.168.1.3:80 后面已經(jīng)指定了是80端口的吧。