[问题求助]不知要用nat,iptables还是route [复制链接]

求大家给我一个how ot

要求
1.所有机子能上网

2.外内网能访问www.FTP serv.er.
http://upload.bbs.csuboy.com/Mon_1004/126_6972_d1be68f8ebb9b80.gif[/img][成人用品]

QUOTE:原帖由 liubinbj 于 2006-6-4 16:56 发表


其实这个模块也很老拉！以前叫什么ftp_contrack，其他一些协议也有类似的contrack模块，反正就是需要分析数据包了，会慢一些，每个连接都有一个跟踪记录文件，流量大容易出错，不知道现在还是不是测试状态。

ip_conntrack_ftp 是用于本机的
ip_nat_ftp 是用于 NAT 的
不知你接触过 PIX 没有？是否见过 fixup protocol ftp 21 这样的配置语句？
至于“每个连接都有一个跟踪记录文件”，这是不对的，在实现 NAT 的时候，有一个 NAT 表，这些连接都记录在同一个表了，而非“每个连接都有一个跟踪记录文件”，且要实现 NAT，就要维护这个状态，conntrack 是必然的

这个模块虽然老，但严格遵守 RFC959 标准，因此很稳定，并不容易出错，也不是测试状态
至于速度吗，会慢一些，但比你在 iptables 里插入 3000+ 条 rules 后去进行过滤快多了

若对性能方面有兴趣，不妨看一下 iptables 和 netfilter 的代码（不过真的很庞大），了解一下 netfilter 是如何对数据包进行过滤的，iptables 又是如何做规则注册的，怎么维护规则链表，以及规则如何遍历的，如果一定要用 C 来实现，记住不要去实现原先用 perl 写的脚本而仍然调用 iptables，要自己去写类似 ipitables 的用户态程序，若感兴趣可以研究一下 libipq

btw: 看了不少 liubinbj 兄的贴子，从说话语气来看，应该年纪不大吧？

QUOTE:原帖由 platinum 于 2006-6-4 16:39 发表

不可取，这是很老的做法
载入 ip_nat_ftp 模块即可，它可以自动根据 RFC959 去分析 TCP/21 所传输的内容，自动开通 FTP-DATA 所需的端口
若有时间，有兴趣，且有耐心的话，不妨看一下鄙人的拙做
[url]http:/ ...

感谢
立刻去看

QUOTE:原帖由 liubinbj 于 2006-6-4 16:07 发表
好漂亮的图阿。
这应该是nat + dmz可以实现的
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
可以做到nat
哦，如果外网是固定地址还可用SNAT.
DMZ 我没有做过，说不好在这个结构下怎么实现，也许需 ...

图丑抱歉呀 lol
iptables v1.3.4: can't initialize iptables table `nat': iptables who? (do you need to insmod?)
这句是什么意思

QUOTE:原帖由 liubinbj 于 2006-6-4 16:29 发表
$IPTABLES -t nat -A PREROUTING -p TCP -i $INET_IFACE  --dport 10000:20000 \
-j DNAT --to-destination $DMZ_FTP_IP

不可取，这是很老的做法
载入 ip_nat_ftp 模块即可，它可以自动根据 RFC959 去分析 TCP/21 所传输的内容，自动开通 FTP-DATA 所需的端口
若有时间，有兴趣，且有耐心的话，不妨看一下鄙人的拙做
http://bbs.chinaunix.net/viewthr ... &extra=page%3D5