求教：關(guān)于iptables的問(wèn)題！

stonestar

我有三臺(tái)機(jī)器，其中C1有兩塊網(wǎng)卡，分別分配IP192.1681.111，192.168.1.201。將C2分配IP192.168.1.112，C3分配IP192.168.1.200
C2和C3是沒(méi)有網(wǎng)線直接相連的。如圖：
    我將C1設(shè)置了存儲(chǔ)轉(zhuǎn)發(fā)的功能，這樣C2就可以經(jīng)過(guò)C1而訪問(wèn)到C3。
   我希望能夠用Iptables實(shí)現(xiàn)這樣的功能：C2發(fā)給C3得報(bào)文或C3發(fā)給C2的報(bào)文，C1并不直接轉(zhuǎn)發(fā)，而是只接收?qǐng)?bào)文然后將其發(fā)送到另外的地方（例如重定向到另外的端口），由我設(shè)計(jì)的程序處理這些報(bào)文，處理合格后在講這些報(bào)文發(fā)送出去。
    我覺(jué)得效果應(yīng)該是C2不知道自己的報(bào)文被C1截到了，同時(shí)C3以為發(fā)過(guò)來(lái)的報(bào)文就是C2的，根本沒(méi)有經(jīng)過(guò)我的檢查。
   
    我試了一些iptables的規(guī)則，C2和C3還是能夠直接連上（我覺(jué)得是），請(qǐng)給大蝦幫忙！�。。�！

platinum

我不知道你這樣的拓?fù)浜驮O(shè)置，C2訪問(wèn)C3是走二層還是走三層，如果沒(méi)做bridge，我想應(yīng)該還是三層的，不過(guò)沒(méi)這樣試驗(yàn)過(guò)

你將C1的192.168.1.201改為192.168.2.201
再將C3的192.168.1.200改為192.168.2.200試試呢？

另外最好貼出C1的iptables規(guī)則，看看問(wèn)題出在哪，現(xiàn)在的信息太少了

stonestar

多謝，這是規(guī)則：
iptables -t nat -A OUTPUT -p tcp --sport 1000:3000 --dport 443\ -j REDIRECT --to-port 10000

platinum

原帖由 "stonestar" 發(fā)表：
多謝，這是規(guī)則：
iptables -t nat -A OUTPUT -p tcp --sport 1000:3000 --dport 443\ -j REDIRECT --to-port 10000

你認(rèn)為這句話的意思是什么？

stonestar

我覺(jué)得是將源端口在1000-3000，目的端口為443得報(bào)文重定向到端口10000，這樣我可以在寫出適當(dāng)?shù)某绦蛟诙丝?0000察看報(bào)文或者是報(bào)文中的數(shù)據(jù)。

platinum

nat表的OUTPUT鏈我沒(méi)做過(guò)，換成PREROUTING鏈應(yīng)該沒(méi)有問(wèn)題

stonestar

OK，多謝。我試試，
另外請(qǐng)教，怎么能夠在端口10000處監(jiān)聽(tīng)到轉(zhuǎn)發(fā)的報(bào)文呢。在10000能夠接受到報(bào)，才算成功吧？

platinum

你可能需要做旁路監(jiān)聽(tīng)，這樣需要把數(shù)據(jù)包復(fù)制一份，一份正常發(fā)送，一份發(fā)送到監(jiān)聽(tīng)端，不過(guò)好像需要第三方程序才能實(shí)現(xiàn)

如果用DNAT或者REDIRECT，都只是改變了數(shù)據(jù)包的去向，而不是復(fù)制

stonestar

多謝斑竹，請(qǐng)問(wèn)斑竹有沒(méi)有利用libnet構(gòu)造報(bào)文方面的源程序。我找了libnet manual中得例程，但頭部檢驗(yàn)和總是為0。

platinum

[quote]原帖由 "stonestar"]多謝斑竹，請(qǐng)問(wèn)斑竹有沒(méi)有利用libnet構(gòu)造報(bào)文方面的源程序。我找了libnet manual中得例程，但頭部檢驗(yàn)和總是為0。[/quote 發(fā)表：

在TCP/IP這方面，我恐怕研究的還沒(méi)你深咧