[问题求助]关于MASQUERADE的理解——请教 [复制链接]

我的iptables规则里.面有这样一句话：             电子
iptables -t nat -A POSTROUTING -s 192.168.98.0/255.255.255.0. -o eth0 -p tcp -m. tcp ! --dport .25 -j MASQUERADE虚拟主机

我的理解是.，除25端口.以外，98.0网段所有的外出包都放行出去。.
可是这样设置以后，内.网的sky.pe只能登录，登录后不能连接到用户，qq不能登录，msn的语音功能不能使用。虚拟主机

以下是我的iptable.s-save的内容：.
[root@.gateway ~].# iptables-save --------------彩票
# Generated by iptables-save v1.2.11 on Fri .Jun  9 08：41：12 .2006--- 印刷
*nat
：PREROUTING AC.CEPT [14971：24.91848]健康
：POS.TROUTING ACCEP.T [361：28430]             汽车
：OUTPUT ACCEPT [190：1139.7.]--- 印刷
-A. PREROUTING -s 192.168.98.0/255.255.255.0 -i eth1 -p. tcp -m tcp --dpo.rt 80 -j REDIRECT --to-ports 3128 外贸
-A POSTROUTING -s 192.168.98.0./255.255.255.0. -o et.h0 -p tcp -m tcp ! --dport 25 -j MASQUERADE           婚庆
COMMIT
# Completed o.n Fri Jun  9 08：41：12. 2006.
# Generated by iptables-save v1.2.11 on Fri J.u.n  9 08：41：12 2006--------------彩票
*filter
：I.NPUT .ACCEPT [8788：2478433].
：FORWARD ACCEPT [2427：28.9.276]投资
：OUTPUT .AC.CEPT [5611：2564067]域名
：RH-Fir.ewall-1-INPUT - [0：0].服务器
COMMIT
# Comple.ted o.n Fri Jun  9 08：41：12 2006(        游戏          )

-A POSTROUTING -s 192.168.98.0/255.255.255.0 -o eth0 -p tcp -m tcp ! --dport 25 -j MASQUERADE
复制代码
这句话的意思是，凡是原地址是来自 192.168.98.0/24 的网络，从 eth0 出去，tcp 协议的非 25 端口的东西，NAT
UDP 呢？其他协议呢？

-A POSTROUTING -s 192.168.98.0/255.255.255.0 -o eth0 -j MASQUERADE

-A FORWARD -s 192.168.98.0 -p tcp --dport 25 -j DROP
复制代码
更多信息请参考 iptables 手册

QUOTE:原帖由 platinum 于 2006-6-9 14:20 发表
-A POSTROUTING -s 192.168.98.0/255.255.255.0 -o eth0 -j MASQUERADE

-A FORWARD -s 192.168.98.0 -p tcp --dport 25 -j DROP
复制代码
更多信息请参考 iptables 手册


不好意思，是我表述的不清楚。我的本意如下：
凡是原地址是来自 192.168.98.0/24 网络的数据，如果其协议非TCP且端口不为25的，就都从eth0 出去，而协议为tcp端口为25的数据则直接通过IP转发功能将数据转发出去。

本人学术浅薄，不知道是否表述清楚

如果将tcp 25端口的数据给drop掉了，我们的outlook express就不能发邮件了

QUOTE:原帖由 mdiane 于 2006-6-11 19:16 发表
凡是原地址是来自 192.168.98.0/24 网络的数据，如果其协议非TCP且端口不为25的，就都从eth0 出去，而协议为tcp端口为25的数据则直接通过IP转发功能将数据转发出 ...

转发难道不用eth0么？用声卡？还是显卡？

QUOTE:原帖由 dbsrv 于 2006-6-12 01:38 发表

转发难道不用eth0么？用声卡？还是显卡？



是我的表述不明白吗？这个问题我困扰很久了

以下详述我的问题，此问题已经困扰我很久了，但怎么尝试都无法解决，本人才疏学浅，请多指教！

1、我的网络结构
   如附件图Lanimage.jpg

2、问题叙述
   （1）因为正在对网络进行改进，为了不影响网络的正常运行，所以不希望改动原有的服务器配置
   （2）邮件服务器（sendmail），可能在原来安装配置时，未开启允许公网IP通过邮件服务器发送邮件，虽然也尝试开启，但是为了服务器的稳定（服务器的运行不能中断），也为了安全，就没有这样做。
   （3）在改进过渡过程中，我新做了一个网关，即附件图中的gateway。所以我的网络中，当前存在两个网关，一个是我的mailserver，它既担当前网络的网关，也是邮件服务器（很不好，所以需要改造）。
   （4）新的网关。希望内网客户机通过新的网关实现与公网的接入。我做了squid+iptables的透明网关，并写了一个简单叫本，内容如下：
#!/bin/sh
#Edit by mdiane

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -F
iptables -F
iptables -P FORWARD ACCEPT

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 192.168.98.0/24 --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A POSTROUTING -s 192.168.98.0/255.255.255.0 -o eth0 -p tcp --dport ! 25 -j MASQUERADE

结果，上网可以，也实现了内网客户机发送公网邮件的目的，此时其实实现的不是网关与邮件服务器的交互，而是直接内网客机同邮件服务器的交互，此既是我要实现的目的。这样就可以避开邮件服务器的不允许公网IP利用邮件服务器发送邮件的限制。可是这样一来，由于platinum (何时才能飞) 指点得知的缘故，我的内网客户机skype能登录却不能联系其它用户，qq不能登录，msn不能使用语音功能。于是我想到了DNAT，对我的iptables脚本文件作了如下变更：
iptables -t nat -A PREROUTING -p tcp -d mailserver公网ip --dport 25 -j DNAT --to-destination 邮件服务器内网IP:25
iptables -t nat -A POSTROUTING -s 192.168.98.0/255.255.255.0 -o eth0 -j MASQUERADE
结果，客户机在使用outlook express发送邮件时，连接不上邮件服务器的25端口。

请问各位大拿们，我该如何是好啊？

[ 本帖最后由 mdiane 于 2006-6-12 10:05 编辑 ]
Lanimage.jpg (27.35 KB)
下载次数:12
2006-06-12 10:03

如果邮件服务器内网ip是98.0/24网段，就移到内网，然后使用DNAT；如果是另外一个网段，在你的 iptables -t nat -A POSTROUTING -s 192.168.98.0/255.255.255.0 -o eth0 -j MASQUERADE
复制代码前面加一句 iptables -t nat -A POSTROUTING -d 邮件服务器内网ip -o eth0 -j ACCEPT
复制代码，注意在邮件服务器上要指明98.0/24的网段的网关是你的gateway

[ 本帖最后由 ippen 于 2006-6-12 11:37 编辑 ]

将mailserver放到gateway下面不就行了，从网关做个端口映射。