【已解決】iptables DNAT規(guī)則無效，請大家?guī)兔Α?/a>

liaohuachao

測試環(huán)境：RHEL 5.4，雙網(wǎng)卡。
內(nèi)網(wǎng)：eth0  10.6.3.211；  
外網(wǎng)：eth1  192.168.1.100；
內(nèi)網(wǎng)web server：web.domain.com（10.6.3.208）；
外網(wǎng)客戶端：192.168.1.3

想實現(xiàn)的功能：使用iptables,能在外網(wǎng)上能訪問到內(nèi)網(wǎng)的web server。

操作：
1.外網(wǎng)客戶端hosts文件添加記錄，將web.domain.com解析到NAT server的外網(wǎng)地址，即192.168.1.100
2.在NAT server 上添加iptables規(guī)則：
   #echo 1 > /proc/sys/net/ipv4/ip_forward
   #iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.100 -p tcp --dport 80 -j DNAT --to 10.6.3.208
   
   
遇到的問題：在外網(wǎng)客戶端上不能訪問內(nèi)網(wǎng)服務器。請問我以上的操作是否正確？還需要做些什么？多謝了！

說明一下，iptables只設置了這條規(guī)則。加了iptables -A FORWARD -p tcp --dport 80 -j ACCEPT也沒用。

mxiaohua1768

內(nèi)網(wǎng)web server：web.domain.com（10.6.3.208）  指網(wǎng)關了嗎  ------內(nèi)網(wǎng)：eth0  10.6.3.211；

南極雨

回復 1# liaohuachao


   #iptables -t nat -A PREROUTING -i eth1 -d 192.168.1.100 -p tcp --dport 80 -j DNAT --to 10.6.3.211
　　iptables -t nat -A PREROUTING -i eth０ -d 10.6.3.211 -p tcp --dport 80 -j DNAT --to 　10.6.3.208

     iptables -I  FORWARD --dport 80 -p tcp -j ACCEPT

試試看唄

liaohuachao

回復 2# mxiaohua1768

有網(wǎng)關。內(nèi)網(wǎng)web server和NAT服務器的內(nèi)網(wǎng)網(wǎng)關都是10.6.3.254.
請問一定要將網(wǎng)關設置為10.6.3.211嗎？

   

kiss8212180

如果你的默認網(wǎng)關不是10.6.3.211的話 那你得要添加一條到192.168.1.100的路由的，要不然數(shù)據(jù)都丟給你的默認網(wǎng)關去了.

liaohuachao

回復 3# 南極雨
還是不行哦。還有其他招嗎？

   

南極雨

回復 6# liaohuachao


    換成:--to-destination 看看... --to 有兩個意思:--to-destination 和--to-source

liaohuachao

回復 7# 南極雨

大俠，還是不行哦。
   

liaohuachao

多謝大家的幫助�，F(xiàn)在問題已經(jīng)解決。將方法跟大家分享一下：
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -d 10.6.3.208 -p tcp --dport 80 -o eth0 -j SNAT --to 10.6.3.211

LOSTKILLER

樓主開始只記得做了DNAT,而沒有做SNAT。