[问题求助]求教：关于iptables的问题！ [复制链接]

我有三台机器，其中C1有两块网卡，分别分配IP192.1681..111，192.168.1.201。将C2分配IP192.168.1.112，.C3分配IP19.2.168.1.200外贸
C2和C3是没有网线直接相连的。如图.：           鲜花
    我将C1设置了存.储转发的功能，这样C2就可以.经过C1而访问到C3。.
   我希望能够用Iptables实现这样的功能：C2发给C3得报文或C3发给C2的报文，C1并不直接转发，而是只接.收报文然后将其.发送到另外的地方（例如重定向到另外的端口），由我.设计的程序处理这些报文，处理合格后在讲这些报文发送出去。           婚庆
    我觉得效果应该是.C2不知道自己的报.文被C1截到了，同时C3以为发过来的报文就是C2的，根本没有经过我的检查。           女人
    
    我试了一些i.ptables的规则，C2和C3还是能够直接连上（我觉得是），.请给大虾帮忙！！！！！电脑
10.jpg (178.91 K.B)              汽车
下载次数:11
2005-.05-10 17:27<性病>

http://upload.bbs.csuboy.com/Mon_1004/126_6695_348fddcc3f1c0ab.jpg[/img](        游戏          )

我不知道你这样的拓扑和设置，C2访问C3是走二层还是走三层，如果没做bridge，我想应该还是三层的，不过没这样试验过

你将C1的192.168.1.201改为192.168.2.201
再将C3的192.168.1.200改为192.168.2.200试试呢？

另外最好贴出C1的iptables规则，看看问题出在哪，现在的信息太少了

多谢，这是规则：
iptables -t nat -A OUTPUT -p tcp --sport 1000:3000 --dport 443\ -j REDIRECT --to-port 10000

QUOTE:原帖由 "stonestar" 发表：
多谢，这是规则：
iptables -t nat -A OUTPUT -p tcp --sport 1000:3000 --dport 443\ -j REDIRECT --to-port 10000

你认为这句话的意思是什么？

我觉得是将源端口在1000-3000，目的端口为443得报文重定向到端口10000，这样我可以在写出适当的程序在端口10000察看报文或者是报文中的数据。

nat表的OUTPUT链我没做过，换成PREROUTING链应该没有问题

OK，多谢。我试试，
另外请教，怎么能够在端口10000处监听到转发的报文呢。在10000能够接受到报，才算成功吧？

你可能需要做旁路监听，这样需要把数据包复制一份，一份正常发送，一份发送到监听端，不过好像需要第三方程序才能实现

如果用DNAT或者REDIRECT，都只是改变了数据包的去向，而不是复制