[问题求助]iptables跳转内网机器 [复制链接]

如题，请问下个位大虾。。我想用iptables做下内网的跳转，跳板是linux，想跳转的机子是windows的，想直接进入windows画面。请.问.大家在iptables里.面应该怎么写？.
也就是.说用一台机子访问跳板linux，直接可以访.问到windows那台机子上（win机子是.内网的）就是通过一个外网IP连接到内网的一台机子上的3389端口。教育


最佳答案ssffzz1
http://upload.bbs.csuboy.com/Mon_1004/126_7149_c2515fb4e40125e.gif[/img]给你做了实验：具体的自己慢慢参考吧，如果还配置不出来，不能说什么了。           鲜花

拓扑如下：


------------------------linux.-----------.---------------------------------内网P.C           女人
    外（10.0.0.2/30）     内（192..168.10..1/24）           （192.168.10.2/24）             汽车
              地址池（.202..102.1.0/24)学习

linux机器：
ISP分配给的内部全局地址（或者说NAT地址池，或者是LZ说的虚拟IP，反正都一个意思，这里假设202.102.1.1映射到192.168.10.2机器）；和ISP互联端的IP为10.0.0.2，对端为10.0..0.1，至于ISP是如何设置的这个LZ无需关心。LI.N.UX的缺省网关为.10.0.0.1，开启转发。

内.网PC：IP地址为192.168.10.2，缺省网关为192..168.10.1。投资

此时各机器的关键配置如下：

LINUX：
[root@srv1 ~]# ifco.nfig.
eth1      Link encap:Ethernet  HWaddr 00:08.:C7:59:79.:C5  教育
          inet addr:10.0.0.2  Bcast:10.0.0.3  .Mask:255.255..255.252
          inet6 .addr.: fe80::208:c7ff:fe59:79c5/64 Scope:Link.
         . UP BROADCAST RU.NNING MULTICAST  MTU:1500  Metric:1.
  .        RX packets:305 errors:0 dropped:0 overruns:0 frame.:0[成人用品]
       .   TX packets:.301 errors:0 dropped:0 overruns:0 carrier:0          婚庆
  .        collisions:0 txqueu.elen:1000 (广告)
      .    RX bytes:29618 (28.9 KiB)  TX bytes:2824.2 (27.5 KiB)    美容

e.th2      Link encap:Ethernet . HWaddr 00:08:C7:73:EA:43  .
          inet addr:.192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0..
          inet6 addr: fe80::.20.8:c7ff:fe73:ea43/64 Scope:Link.
    .      UP BROAD.CAST RUNNING MULTICAST  MTU:1500  Metric:1.
          RX packets:38 errors:0 droppe.d:0 overruns:0 frame.:0    美容
          TX packets:44 errors:0 dropped:0 o.verrun.s:0 carrier:0[成人用品]
          col.lisio.ns:0 txqueuelen:1000     健康
          RX bytes:2616 (2.5 KiB) . TX bytes:2740 (2..6 KiB).

lo        Link encap:Loca.l Loopbac.k  学习
          inet addr:127.0.0.1  .Mask:255..0.0.0.
          inet6 addr: ::1/12.8 Scope:Ho.st[成人用品]
    .      UP LOOPBACK RUNNING  MTU:1643.6  Metric:1.
          RX. packets:.0 errors:0 dropped:0 overruns:0 frame:0(        游戏          )
          TX packets:0 errors:0 dropped:0 overru.ns:0 .carrier:0健康
          collisions:0 t.xqueuelen:.0     健康
          RX bytes:.0 (0.0 b)  TX bytes:0 (0.0 b.).

[.root@.srv1 ~]# ip route list.
10.0.0.0/30 dev eth1  proto kernel  scop.e .link  src 10.0.0.2 健康
192.168.10.0/24 dev eth2  proto kernel  scope link  s.rc 19.2.168.10.1 (        游戏          )
default via 10.0.0.1 dev et.h1. .
[root.@srv1 .~]# iptables-save .
# Genera.t.ed by iptables-save v1.3.5 on Sat Jan 26 11:15:36 2008<性病>
*nat
REROUTING ACCEPT [4:336]http://upload.bbs.csuboy.com/Mon_1004/126_7149_e3d115ab71927ac.gif[/img]域名
OSTROUTING ACCEPT [4:176]http://upload.bbs.csuboy.com/Mon_1004/126_7149_e3d115ab71927ac.gif[/img]投资
:OUTP.UT ACCEPT [0:0]投资
-A PREROUTING -d 202.102.1.1 -i eth.1 .-j DNAT --to-destination 192.168.10.2            建材
-A P.OSTROUTING -o e.th1 -j MASQUERADE (广告)
COMMIT
# Completed on Sat Jan 26 11:15:3.6 2.008外贸


内网PC：

[root@srv2 .~]# ifconfig --------------彩票
eth1      Link encap:Ethernet  HWaddr 00:4.0:05:47:23:.FB             建材
          inet addr:192.168.10.2  Bc.ast:192.168.10.255  Mask:2.55.255.255.0域名
    .      inet6 addr: fe80::240.:5ff:fe47:23fb/64 Scope:Link电影
          UP BROADC.AST RUNNING MULTICAST  MTU.:1500  Metric:1             电子
          RX packets:38 errors:0 drop.ped:0 overruns:0 frame:0.教育
          TX packets:44 errors.:0 dropped:0 ov.erruns:0 carrier:0    美容
          collisions:.0 txqueuelen:10.00 (        游戏          )
          RX bytes:2482 (2.4 KiB)  TX bytes:2..860 (2.7 KiB)服务器
.         Inte.rrupt:185 Base address:0xc000 学习

eth2      Link encap:.Ethernet  HWaddr 00:13:4.6:95:8B:63  .
          UP BROADCAST MULTICA.ST.  MTU:1500  Metric:1--- 印刷
          RX packets:0 errors:0 dropped:0 overr..uns:0 frame:0.
  .        TX packets:0 errors:0 dropped:0 ove.rruns:0 carrier:0
     .     collisio.ns:0 txqueuelen:1000 教育
          .RX bytes:0 (0.0 b).  TX bytes:0 (0.0 b).
          Interrupt:193 Base ad.dress:0xe000 .服务器

lo        Link .en.cap:Local Loopback             建材
       .   inet addr:127.0.0..1  Mask:255.0.0.0.
. .        inet6 addr: ::1/128 Scope:Host教育
.         UP LOOPBACK RUNNING  M.TU:16436  Metric:1学习
    .      RX packets:3 errors:0 dropped:0 overruns:.0 frame:0教育
          TX packets:3 errors:0 droppe.d:0 overruns:0 ca.rrier:0.
       .   collisions:0 txqueu.elen:0     外汇
    .      RX bytes:336. (336.0 b)  TX bytes:336 (336.0 b)             汽车

[ro.ot@srv2 ~]# ip .route list服务器
192.168.10.0/24 dev eth1  proto kernel  scope link  src .19.2.168.10.2 投资
default via 1.92.168.10..1 dev eth1域名

给你做了实验：具体的自己慢慢参考吧，如果还配置不出来，不能说什么了。

拓扑如下：


------------------------linux--------------------------------------------内网PC
    外（10.0.0.2/30）     内（192.168.10.1/24）           （192.168.10.2/24）
              地址池（202.102.1.0/24)

linux机器：
ISP分配给的内部全局地址（或者说NAT地址池，或者是LZ说的虚拟IP，反正都一个意思，这里假设202.102.1.1映射到192.168.10.2机器）；和ISP互联端的IP为10.0.0.2，对端为10.0.0.1，至于ISP是如何设置的这个LZ无需关心。LINUX的缺省网关为10.0.0.1，开启转发。

内网PC：IP地址为192.168.10.2，缺省网关为192.168.10.1。

此时各机器的关键配置如下：

LINUX：
[root@srv1 ~]# ifconfig
eth1      Link encap:Ethernet  HWaddr 00:08:C7:59:79:C5  
          inet addr:10.0.0.2  Bcast:10.0.0.3  Mask:255.255.255.252
          inet6 addr: fe80::208:c7ff:fe59:79c5/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:305 errors:0 dropped:0 overruns:0 frame:0
          TX packets:301 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:29618 (28.9 KiB)  TX bytes:28242 (27.5 KiB)

eth2      Link encap:Ethernet  HWaddr 00:08:C7:73:EA:43  
          inet addr:192.168.10.1  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::208:c7ff:fe73:ea43/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:38 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2616 (2.5 KiB)  TX bytes:2740 (2.6 KiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[root@srv1 ~]# ip route list
10.0.0.0/30 dev eth1  proto kernel  scope link  src 10.0.0.2
192.168.10.0/24 dev eth2  proto kernel  scope link  src 192.168.10.1
default via 10.0.0.1 dev eth1
[root@srv1 ~]# iptables-save
# Generated by iptables-save v1.3.5 on Sat Jan 26 11:15:36 2008
*nat
REROUTING ACCEPT [4:336]
OSTROUTING ACCEPT [4:176]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d 202.102.1.1 -i eth1 -j DNAT --to-destination 192.168.10.2
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sat Jan 26 11:15:36 2008


内网PC：

[root@srv2 ~]# ifconfig
eth1      Link encap:Ethernet  HWaddr 00:40:05:47:23:FB  
          inet addr:192.168.10.2  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::240:5ff:fe47:23fb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:38 errors:0 dropped:0 overruns:0 frame:0
          TX packets:44 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2482 (2.4 KiB)  TX bytes:2860 (2.7 KiB)
          Interrupt:185 Base address:0xc000

eth2      Link encap:Ethernet  HWaddr 00:13:46:95:8B:63  
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:193 Base address:0xe000

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:3 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:336 (336.0 b)  TX bytes:336 (336.0 b)

[root@srv2 ~]# ip route list
192.168.10.0/24 dev eth1  proto kernel  scope link  src 192.168.10.2
default via 192.168.10.1 dev eth1

iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to $win_ip

QUOTE:原帖由 dbsrv 于 2008-1-23 16:42 发表
iptables -t nat -A PREROUTING -p tcp --dport 3389 -j DNAT --to $win_ip

试过不行。。我开始也这么写的，所以才上来请教的。。我在想是不是因为那个外网IP是虚拟IP，所以不行。。
不过谢谢你的回答：）

-A PREROUTING -d 外网IP -p tcp -m tcp --dport 8800 -j DNAT --to-destination winIP:3389
-A POSTROUTING -d winIP -p tcp -m tcp --dport 3389 -j SNAT --to-source 内网IP
这是我现在的写法。。但是还是不行。。

虚拟IP，
啥意思。

QUOTE:原帖由 ssffzz1 于 2008-1-23 17:29 发表
虚拟IP，
啥意思。

虚拟IP→真实IP（linux）→内网IP

还是不明白。
贴出你的iptables-save配置。还有外网IP的分配。

QUOTE:原帖由 ssffzz1 于 2008-1-23 18:33 发表
还是不明白。
贴出你的iptables-save配置。还有外网IP的分配。

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [17668:1544906]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 8080 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 7009 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jan 24 13:59:50 2008
# Generated by iptables-save v1.2.11 on Thu Jan 24 13:59:50 2008
*nat
REROUTING ACCEPT [1274:120715]
OSTROUTING ACCEPT [15:1076]
:OUTPUT ACCEPT [15:1076]
-A PREROUTING -d 222.66.99.201-p tcp -m tcp --dport 8800 -j DNAT --to-destination 192.168.84.46:3389
-A POSTROUTING -d 192.168.84.46 -p tcp -m tcp --dport 3389 -j SNAT --to-source 192.168.84.48
COMMIT

外网分配的虚拟IP，222.66.99.201

iptables -t nat -A PREROUTING -p tcp -d  外网IP --dport 8800 -j DNAT --to $内网IP：3389

[ 本帖最后由 redwood0412 于 2008-1-24 14:44 编辑 ]