[问题求助]网络结构如图，这样写iptables能否实现这样的需求？ [复制链接]

iptables -A INPUT -p tcp –m state –state ESTABLISHED,RELA.TED –j A.CCEPT电脑
改成
iptables. -A INPUT –m state –state ESTABLIS.HED,RELATED –j ACCEPT    美容

iptables -t .nat .-A POSTROUTING -d 192.16.8.1.254 -p tcp --dport 80 -j SNAT --to 192.168.1.1域名
为.什么只有目标地址是 web server 的才修改原地址？这句语法正确，逻辑是错误的，.去掉.

iptables -A FORWARD -p tcp .–m state –state ESTABLISHED,RELATED –j ACCEP.T<性病>
改为
iptables -A. FORWA.RD –m state –state ESTABLISHED,RELATED –j ACCEPT<性病>

iptables -A .FOR.WARD -p tcp --sport 80 -j ACCEPT.
去掉

iptables -A FORWARD -f -m. limit .--limit 100/s --limit-burst 100 -j ACCEPT           女人
iptables -A FORWARD -p icmp -m limit. --limit 1/s --li.mit-burst 10 -j ACCEPT.
用法不对，且没什么用，去掉

QUOTE:原帖由 kizi_jv 于 2006-4-22 00:30 发表
多谢platinum
iptables -t nat -A POSTROUTING -d 192.168.1.254 -p tcp --dport 80 -j SNAT --to 192.168.1.1 这句是参考你的教程，目的是数据回送。去掉能实现开放web么？还是改成:
iptables -t nat -A POSTR ...

若是回送，也不应该目的地址是 192.168.1.254 啊，POSTROUTING 应该对应的是出去的数据包，而不是进来的

至于 [1]，不知道你说的“不行”是什么意思，如何测试的，预期效果是什么，实际效果是什么，这些都没有提到
至于 [2]，前面说了，POSTROUTING 是用于数据包出去的，而不是进来的，所以这里应该是 -o eth1，因为 eth1 才是外网卡，而 -o 是输出界面

QUOTE:原帖由 kizi_jv 于 2006-4-22 01:26 发表
[1]意思是eth1接ADSL，那么匹配进来的数据，即-i eth1 还是 -i ppp0?或者这两个都是正确的？

还是我上面那句话，你没说要实现什么，我怎么知道你哪个是正确的啊？

内网访问 web server 的时候是通过什么方法呢？
1、直接使用内网 IP 访问
2、直接使用公网 IP 访问
3、直接使用域名访问
4、使用内部 DNS 解析域名实现访问（解析为内网 IP 地址）

不知道你属于哪种？

我不知道你说的“我写的那两句”指的哪两句
我重新写一个好了
#! /bin/bash

service iptables stop

modprobe ip_nat_ftp

iptables -P INPUT DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -p tcp -i eth0 -m multiport --dports 22,3128 -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE

iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to 192.168.1.254

iptables -t nat -A PREROUTING -i eth0 -d ! 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to 3128
复制代码