【已解決】iptables DNAT規(guī)則無效，請(qǐng)大家?guī)兔Α?/a>

liaohuachao

回復(fù) 10# LOSTKILLER
是的。還要為返回的數(shù)據(jù)包做SNAT才行。


   

kiss8212180

不是很理解
返回不是有路由出去的么..應(yīng)該不用SNAT吧...

mxiaohua1768

回復(fù) 9# liaohuachao


    #echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -s  10.6.3.208 -p tcp --sport 80 -i eth0 -j SNAT --to 192.168.1.100     這樣行嗎？


#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -d 10.6.3.208 -p tcp --dport 80 -o eth0 -j SNAT --to 10.6.3.211  這句不太懂什么意思

還有就是  不用做SNAT的這種辦法行嗎
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -A INPUT  -m state --state ESTABLISHED,NEW,RELATED -j  ACCETP  
你可以試試看~

tianlijian

學(xué)習(xí)下，呵呵

liaohuachao

回復(fù) 13# mxiaohua1768

#iptables -t nat -A POSTROUTING -s  10.6.3.208 -p tcp --sport 80 -i eth0 -j SNAT --to 192.168.1.100     這樣行嗎？

這個(gè)不行。另外，-i參數(shù)不能用著SNAT中，同樣，-o參數(shù)不能用在DNAT中。

#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -t nat -A POSTROUTING -d 10.6.3.208 -p tcp --dport 80 -o eth0 -j SNAT --to 10.6.3.211  這句不太懂什么意思
這句的意思是在數(shù)據(jù)包離開eth0之前，將原地址改為10.6.3.211(之前原地址是192.168.1.100)

還有就是  不用做SNAT的這種辦法行嗎
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptalbes -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 80 -i eth1 -j DNAT --to-destination 10.6.3.208
#iptables -A INPUT  -m state --state ESTABLISHED,NEW,RELATED -j  ACCETP  
你可以試試看~
這個(gè)我試了一下，不行。


   

mxiaohua1768

回復(fù) 15# liaohuachao


    如果你的web 網(wǎng)關(guān)是 eth0的話， 我覺得不用SNAT啊，那臺(tái)iptables 機(jī)器會(huì)通過路由表 和 web服務(wù)器通信的啊，（同一網(wǎng)段發(fā)廣播的�。�，不用改變?cè)碔P吧，為什么要SNAT

youthdating

確實(shí)，為什么要用SNAT，我也覺得不用。