[问题求助]iptables做端口映射的问题谢谢帮忙 [复制链接]

公网x..x.x.20   主页服务器健康
公网x.x.x.29 .  dns服务器           建材
d.ns服务器单网卡 eth0配.的ip：x.x.x.29           鲜花


我想人家浏览器..输入： abc.com的时候能访问我们的主页x.x..x.20（上级dns已经把abc.com指向x.x.x.29），于是我把端口映射过去了             汽车
[ae.h@.dns ~]# iptables -t nat -L--- 印刷
Chain PRE.ROUTING (po.licy ACCEPT)           女人
target     prot opt s.ource            .   destination         .
DNAT       tcp  --  anywhere       .      abc.com         tcp dpt:http .to: x.x..x.20:80            鲜花

Chain POS.TR.OUTING (policy ACCEPT)外贸
target    . prot opt source          .     destination         (广告)
SNAT       tcp.  --  www.abc.com      anyw.here .           tcp spt:http to: x.x.x.29:80 --- 印刷

Chain OUTPUT (po.licy ACCE.PT)            杀毒
target     prot opt source      .         destination  .                鲜花


但是地址栏输入  x.x.x.29 却打不开..
1、大家帮我看看 有什么问题


2、.想达到目的用其他方式行不行    外汇

谢.谢停留，不会用积分，不好意思啊           建材

上面tcp dpt:http to: x.x.x.20:80  tcp spt:http to: x.x.x.29:80 这两个: x中间我加了一个空格 不然就是这个符号了http://upload.bbs.csuboy.com/Mon_1004/126_6666_df017f5679398c9.gif[/img].

[ 本帖.最后由 aeh 于 2008-9-19 20:5.0 编辑 ].

策略不对
上级DNS授权没授权你x.x.x.29的DNS服务器对abc.com的解析权
如果授权了就不需要iptables了。直接dns配置里设置即可。

[ 本帖最后由 剑次狼 于 2008-9-19 21:11 编辑 ]

IP转发开了没有？

echo 1 > /proc/sys/net/ipv4/ip_forward



参考
IP1：8888 映射到IP2：3389  （IP1外网，IP2内网）
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-destination IP2:3389
iptables -t nat -A POSTROUTING --dst IP2 -p tcp --dport 3389 -j SNAT --to-source IP1


[ 本帖最后由 lzs45 于 2008-9-19 21:16 编辑 ]

QUOTE:原帖由 剑次狼 于 2008-9-19 21:08 发表
策略不对
上级DNS授权没授权你x.x.x.29的DNS服务器对abc.com的解析权
如果授权了就不需要iptables了。直接dns配置里设置即可。


上级dns已经把abc.com指向x.x.x.29，这句话可能表达不清，这句话的意思就是上级DNS授权已授权x.x.x.29的DNS服务器对abc.com的解析权



QUOTE:如果授权了就不需要iptables了。直接dns配置里设置即可。

我要的是所有访问dns服务器80端口的都转到www服务器上去，可以吗？

QUOTE:原帖由 lzs45 于 2008-9-19 21:09 发表
IP转发开了没有？

echo 1 > /proc/sys/net/ipv4/ip_forward

IP转发开了



QUOTE:参考
IP1：8888 映射到IP2：3389  （IP1外网，IP2内网）
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-d ...


只有一个网卡，单网卡的dns，没有内外网

QUOTE:原帖由 aeh 于 2008-9-20 10:41 发表

只有一个网卡，单网卡的dns，没有内外网


这个不是双网卡的转发，IP1是服务器的外网地址，IP2是内网办公机器，通过映射以后在家里用IP1:8888来远程登录内网的办公机器。

你把IP1换成DNS服务器IP，IP2换成web服务器IP试试

QUOTE:原帖由 lzs45 于 2008-9-20 14:00 发表


这个不是双网卡的转发，IP1是服务器的外网地址，IP2是内网办公机器，通过映射以后在家里用IP1:8888来远程登录内网的办公机器。

你把IP1换成DNS服务器IP，IP2换成web服务器IP试试



我是这样做的
# vi /etc/rc.d/rc.local

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -d x.x.x.29 -p tcp --dport 80 -j DNAT --to x.x.x.20:80
iptables -t nat -A POSTROUTING -s x.x.x.20 -p tcp --sport 80 -j SNAT --to x.x.x.29:80
启动后结果
[aeh@dns ~]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination        
DNAT       tcp  --  anywhere             abc.com         tcp dpt:http to: x.x.x.20:80

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination        
SNAT       tcp  --  www.abc.com      anywhere            tcp spt:http to: x.x.x.29:80

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination      


和您的做法
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-destination IP2:3389
iptables -t nat -A POSTROUTING --dst IP2 -p tcp --dport 3389 -j SNAT --to-source IP1
下面这个dst应该是您笔误吧
两个做法好像没有区别哦

啰嗦了点，还请照顾一下
另外：我的dns和www都在同一个网段，这应该没什么问题吧

[ 本帖最后由 aeh 于 2008-9-20 17:01 编辑 ]

QUOTE:原帖由 aeh 于 2008-9-20 16:52 发表
和您的做法
iptables -t nat -A PREROUTING --dst IP1 -p tcp --dport 8888 -j DNAT --to-destination IP2:3389
iptables -t nat -A POSTROUTING --dst IP2 -p tcp --dport 3389 -j SNAT --to-source IP1
下面这个dst应该是您笔误吧
两个做法好像没有区别哦

啰嗦了点，还请照顾一下
另外：我的dns和www都在同一个网段，这应该没什么问题吧

不是笔误，这个是以前从网上复制下来的，我在公司有外网IP的服务器（单网卡）上设置后，可以通过那台服务器的外网IP远程桌面连内网的办公机器

你只把上面的IP和端口改一下在你的x.x.x.29这个服务器上试一下，不行再想别的办法