[问题求助]只dnat 部分ip的问题 [复制链接]

你好，想实现的功能是：公司大部分的电脑上网时限制不能上网，网页自动重定向到某一网站比如google.com，但开放一些ip能正常上网.。在iptables脚本最后执行 iptables -t nat -A PREROUTING -p tcp -.-dport 80 -j DNAT --to 192.1.68..1.1.。有什么规则能让部分ip不dnat的吗？谢谢。           女人

[ 本帖最后.由 goon86 于 2009-4-11 11:00. 编辑 ]健康

-s 192.168.1.0/27 这个段允许正常访问
然后将这个范围的地址规则放在在前面执行

允许正常访问的命令怎么写，请写一下命令好吗？谢谢。比如我想192.168.1.10 ，192.168.1.33和192.168.1.140 这三个ip能上网，其他上网的地址全部dnat到192.168.1.1怎么写？

iptables -A FORWARD -s 192.168.0.1 -d www.baidu.com -j DROP

谢谢marsaber ，这个是把包丢掉了，比如只有3台电脑能上网，其他都dnat的话，那要执行253次这个，效率有点低了。

把允许的放在dnat规则的前面就行,二楼已经给你答案了

允许上网的规则怎么写？不好意思，iptables新手。不能上网的电脑数据包不能drop，dnat到另一网站的ip。谢谢

[ 本帖最后由 goon86 于 2009-4-10 19:41 编辑 ]

比如你允许192.168.0.1、192.168.0.101、192.168.0.201上网
那么你可以这么写：
iptables -A FORWARD -s 192.168.0.1 -j ACCEPT
iptables -A FORWARD -s 192.168.0.101 -j ACCEPT
iptables -A FORWARD -s 192.168.0.201 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d www.baidu.com -j DROP


还是不明白，限制公司大部分电脑定向到某个网站，但要开放一些ip能直接上网，需要怎么做？用的着DNAT吗？

[ 本帖最后由 marsaber 于 2009-4-10 20:00 编辑 ]

非常感谢。想实现的功能是：公司大部分的电脑上网时限制不能上网，网页自动重定向到某一网站比如google.com，但开放一些ip能正常上网。我试了一下，iptables -A FORWARD -s 192.168.1.0/24 -d 64.233.189.104 -j DROP没起作用，没能重定向到google.com的ip。非101 201 ip的电脑还是可以照常上网。我的wan口ip是192.168.0.1，lan口ip是192.168.1.1的，
iptables -A FORWARD -s 192.168.1.1 -j ACCEPT
iptables -A FORWARD -s 192.168.1.101 -j ACCEPT
iptables -A FORWARD -s 192.168.1.201 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -d 64.233.189.104 -j DROP

[ 本帖最后由 goon86 于 2009-4-10 20:20 编辑 ]

网页自动重定向到某一网站比如google.com。
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to www.google.com
[eth0是外网网卡，eth1是内网网卡]