[问题求助]一个非主流网络结构做NAT的问题 [复制链接]

公司.通过光纤连接电信三层交换机.，分配IP地址为192.168.37.0/24，并NAT一个公网地址218.x.x.x。学习
公司LAN的情况.：我做了一个基.于网关的双网卡透明代理（squid+iptables)，外网eth0地址192.168.37..1（实际是私有地址，但对公.司来说是公网），内网eth1地址10.0.0.254。公司有一台WEB服务器，IP10.0.0.2，一台e-mail服务器需要公网可以访问。             汽车
我在外网卡上虚.拟了5个外网地址，分别如下：电脑
eth0:1 192.168.37..245电脑
eth0:2 192.168.37.59   . 投资
e.th0:3 192.168.37.60电影
eth0:4 192.168.3.7.61(广告)
eth0:5 .192.168.37.193投资

我是这么做的NAT：

iptables -t nat -A. PRE.ROUT.ING -i eth0 -d 192.168.37.245  -p tcp --dport 80 -j DNAT --to 10.0.0.2           建材
iptables -.t nat -A PO.STROUTING -o eth0 -s 10.0.0.2 -p tcp --dport 80 -j SNAT --to 192.168..37.245    美容
其他几个eth0也一样的。http://upload.bbs.csuboy.com/Mon_1004/126_7100_df017f5679398c9.gif[/img]             电子

这么做以后，发现有三个问题：
1.   外网用户输入218.x.x.x可以访问2.18.x.x.x WEB服务器。但电信的私网用户，对我来说是外网用户却无法访问218.x..x.x，输入192.168.37.245.也无法访问web服务器。现在.电信私网用户可以ping 192.168.37.245，但页面打不开。如何做NAT才能让电信私网用户可以访问web服务器？               乙肝
2.   公司内网10..0.0.0/24用户想访问192.168.37.245能否做到？怎么做？当然输入10.0.0.2内.网地址是可以访问的。我想输入192.168.37.245也可以访问。【个.人觉得，除非DMZ主机，否则无法实现，不知道高手有啥办法.】           女人
3.   公司内.网中有几个VPN用户，也.就是虚拟的外网卡eth0.:2,eth0:3,eth0:4,eth0:5，现在无法连接公网VPN服务器。【已解决】.

下面是我写的规则：

#Define string
IPT=/sbin/iptables.             电子
#Mount necessary mod.ule    外汇
/sbi.n/modprobe ip_tables电影
/s.bi.n/modprobe iptable_nat             电子
/s.bin/modprobe iptabl.e_filter--- 印刷
/sbin/modprobe ip_.conntrack_.ftp.
/sb.in/modprobe ip_nat_ftp.

#Refresh rules
$IPT -F
$IPT -X
$IPT -F -t nat
$IPT -X -t nat
$IPT -F .-t mangle域名
$I.PT -X -t mangle虚拟主机

#Defa.ult policy             电子
$IPT -.P INPUT DROP.
$IPT -.P OUTPUT ACCEPT    健康
$IPT -P FORW.ARD DROP.

#Enable. loopback.
$IPT -A IN.PUT -i lo -j ACCEPT.学习

#Enable ping
$IPT -A FORWARD -s 10.0.0..0/24 -p icmp -j ACC.EPT.
$IPT -A INPUT -i eth1 -.s 10.0.0.0/24 -p icmp --icmp-type echo-reques.t -.j ACCEPT           建材
$IPT -A INPUT -m state --state ESTAB.LISHED,RELATED -j ACC.EPT    健康

#.Permit. 10 connections at most(        游戏          )
#$IP.T -A INPUT -s 10.0.0.0./24 -p tcp --syn -m connlimit --connlimit-above 10 -j D.ROP.
#Prevent Ping of .death.
$IPT. -A INPU.T -p ic.mp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT    外汇
#Preven.t SYN flood attrack,.1 packet per second is allowed服务器
$IPT -A INPUT -p tcp --syn -m limit --.limit 1/s -j A.CCEPT电脑
#Prevent Den.ial of .Server attrack服务器
$IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m li..mit --limit 1/s -j A.CCEPT.

#Enable i.p forwarded           女人
e.cho. "1">/proc/sys/net/ipv4/ip_forward服务器
#echo "1">/.proc/s.ys/net/ipv4/tcp-syncookies[成人用品]

#NAT rules
$IPT -t nat -A POSTROUTING -d 10.0.0..2 -p tcp. --dport 80 -j SNAT --to .10.0.0.254--------------彩票
#$IPT -t na.t -A POSTROUTING -o eth0 -s 10.0.0.2 -j SN.AT --to 192.168.37.245          婚庆
$IPT -t nat -A POSTROUTING -o eth0 -s 10..0.0.59 -j SNAT --to .192.168.37.59.
$IPT -t nat -A POSTRO.UTING -.o eth0 -s 10.0.0.60 -j SNAT --to 192.168.37.60[成人用品]
$IPT -t nat -A POSTROUTI.NG -o eth0 -s 10.0.0.61. -j SNAT --to 192.168.37.61电脑
#$IPT -t nat -A POSTROUTING -o eth0 -s 10.0.0.62 -j SNA.T --to 192.168.37..62.
$IPT -t na.t -A POSTROUTIN.G -o eth0 -.s 10.0.0.193 -j SNAT --to 192.168.37.193    外汇

$..IPT -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth.0 -j SNAT --to-source 192.168.37.1电脑

$IPT -t nat -A PRER.OUTING -i eth1 -s 10.0.0.0./24 -p tcp --dport 80 -j .REDIRECT --to-port 3128[成人用品]

#Local address
$IPT -t nat -A PREROUTING -i eth0 -s 10...0.0.0/8 -j ACCEPT电脑
$IPT -t nat -A PREROUTING -i et.h0 .-s 127.0.0.0/8 -j DROP虚拟主机
$.IPT -t nat -A PREROUTING -i eth0 -s 172.16.0.0./12 -j ACCEPT           建材
$IPT -t nat -A PREROUTING -i eth0 -s 19.2.168.0.0/16 -j AC.CEPT虚拟主机

#Add access. rules电脑
$IPT -A INPUT -i eth1 -s 10.0.0.0/24 -p tcp --.dport 31.28 -m state --state NEW,ESTABLISHED -j ACCE.PT.
$IPT -A INPUT -i eth0 -p tc.p --dport 1024:.65535 -m state --st.ate ESTABLISHED,RELATED -j ACCEPT学习

$IPT -t nat. -A PREROUTING -p udp -s 1.0.0.0.0/24 --dport 53 -j DNAT .--to 192.168.1.33.
$IPT -t nat -A PREROUTING -.p udp -s 10.0.0.0/24 --dport 5.3 -j .DNAT --to 192.168.1.25外贸
#$IPT -t n.at -A PREROUTING -i eth0 -d 192.168.37.245 -p tcp --dport 80. -j DNAT --to 10..0.0.2    外汇
$IPT -t nat -A P.REROUTING -d 192.1.68.37.2.45 -p tcp --dport 80 -j DNAT --to 10.0.0.2[成人用品]
#$IPT -t nat -A POSTROUTI.NG -d 10.0.0..2 -s 10.0.0.0/24 -p tcp --dport 80 -j SNA.T --to 10.0.0.254.

$IPT -t nat -A PRE.ROU.TING -i eth0 -d 192.168.37.245 -p tcp .--dport 81 -j DNAT --to 10.0.0.44:81.
$IPT -t nat. -A PREROUTING -i eth0 -d .192.168.37.245 -p tcp --dport .8001 -j DNAT --to 10.0.0.44:8001--- 印刷
$IPT -t n.at -A PREROUTING -i eth0 -d 192.168.37.59 -j DNAT --to 1.0.0.0.59           建材
$IPT -t nat -A P.REROUTING. -i eth0 -d 192.168.37.60 -j DNAT --to 10.0.0.60--------------彩票
$IPT -t. nat -A PREROUTING -i eth0 -d 192.168.37.61 -j DNAT --to 10..0.0.61投资
#.$IPT -t nat -A PREROUTING -i eth0. -d 192.168.37.62 -j DNAT --to 10.0.0.62[成人用品]
$IPT -t na.t -A PREROUTING -i eth0 -d 192.168.37.193. -j DNAT --to 10.0.0.193电脑

#$IPT -A FORWARD. -i eth1 -s. 10.0.0.0/24 -j ACCEPT           鲜花
#$IPT -A FORWARD. -i eth0 -o eth1 -m .state --state ESTABLISHED,RELATED -j ACCE.PT--- 印刷
$.IPT -A FORWARD. -p tcp --dport 20 -j ACCEPT.
$IPT -A FORWARD -p tcp --dport 21 -.j AC.CEPT.
$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -.p tc.p --dport 22 -j ACCEPT(        游戏          )
$IPT -A. FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 23 -j. ACCEPT           女人
$IPT -A FORWA.RD -i eth1 -s 1.0.0.0.0/24 -p tcp --dport 25 -j ACCEPT投资
$IPT. -A FORWARD -i eth1 -s 10.0.0.0/2.4 -p gre -j ACCEPT    #GRE           建材
$IPT -A F.ORWARD -i eth1 -s. 10.0.0.0/24 -p tcp --dport 50 -j ACC.EPT    #IPSec ESP    美容
$IP.T -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp .--dport 51 -j ACCEPT    #IPSec .AH外贸
$IPT -A FORWAR.D -i eth1 -s .10.0.0.0/24 -p udp --dport 500 -j ACCEPT   #IKE           女人
$IPT -A FORWARD -i eth1 -s 10.0.0.0./24 -p .udp --dport 4500 -j A.CCEPT  #NAT-T    外汇

$IPT -A FORWARD -i et.h1 -s 10.0.0.0/24 -p .tcp --dport 80 -j ACCEPT          婚庆
$IPT -.A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 81 -j. ACCEPT健康
$IPT -A FORWARD. -i eth1 -s 10.0.0.0/24 -p tcp --dport 110 -j ACCE.PT             汽车
$IPT -A FORWARD -p .udp -s 10.0.0.0/24 -.-dport 53 -j ACCEPT外贸
$IPT -.A FORWARD -p tcp -s .10.0.0.0/24 --dport 143 -j ACCEPT              乙肝
$IPT -A FORWARD -p tcp -s 10.0..0.0/24 --dport 443 -j AC.CEPT(广告)
$IPT -A FO.RWARD -p tcp -s 10.0..0.0/24 --dport 1433 -.j ACCEPT   # sql server enable.
$IPT -A FORWARD -p tcp .-s 10.0.0.0/.24 --dpor.t 1723 -j ACCEPT   # PPTP enable外贸
$IPT -A. FORW.ARD -p udp -s 10.0.0.0/24 --d.port 1723 -j ACCEPT   # PPTP enable[成人用品]
$IPT -A FORWARD -p udp .-s 10.0.0.0/24 --dport 1701 -j ACCEPT.   # L2TP
$IPT -A FORWARD -p t.cp -s 10.0.0.0/24 --dport 1701 -j ACCEPT   #. L2TP域名
$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dp.ort 1645 -j ACCEP.T   # Legac.y RADIUS           鲜花
$IPT -A FORWARD -p udp -s 10.0.0..0/24 --dport 1646 -.j. ACCEPT   # Legacy RADIUS投资
$IPT -A FORWARD -p udp -s .10.0..0.0/2.4 --dport 1813 -j ACCEPT   # RADIUS Accounting              乙肝
$IPT -A FORWARD -p udp -s 10.0.0.0/24. --.dport 1812 -j ACCEPT   # RADIUS Authentic.ation--------------彩票
$I.PT -A FORWARD -p tc.p -s 10.0.0.0/24 --dport 7708 -j ACCEPT   # Lianhe zhe.ngquan             电子
$IPT -A FORWARD -p tcp. -s .10.0.0.0/24 --dport 7709 -j AC.CEPT   # Lianhe zhengquan    美容
$IPT -A F.ORWARD -p tcp -s 10.0.0.0/24 --dport 7711 -j .ACCEPT   # Lian.he zhengquan.
$IPT -A FORWARD -p tcp. -s 10.0.0.0/24 --d.port 8002 -j ACCEPT   # da zhihui投资
$IPT -A FORWARD .-p tcp -s 10.0.0.0/24 --dport 8601. -j ACCEPT   # Stock.
$IPT -A FORWARD -p tcp -s 10.0..0.0/24 --dport 22000 -j ACCEPT   # Lianhe zhe.ngqua.n[成人用品]
$IPT -A F.ORWARD -p tcp -s 10.0.0.0/24 --dport 22223 -j ACC.EPT   # Lianhe zh.engquan           女人
$IPT -A .FORWARD -p tcp -s 10.0.0.0/24 --dport 8080 -j ACCEPT..
$IPT. -A FORWARD -m state --state ESTABLISHED,RELATED. -j ACCEPT<性病>

#Permit ftp
##passive mode
$IPT -A FORWARD -p tcp --sport 1024: -.-dport 1024:. -m state. --state RELATED,ESTABLISHED -j ACCEPT             电子
##active mode
$IPT -A FORWARD -p tcp --.sp.ort 20 .-m state --state ESTABLISHED,RELATED -j ACCEPT.

#Block vir.ues port.
$IPT -I INPUT -p tcp --dpo.rt 135:139 -.j REJECT.
$IPT -I INPUT -.p udp --dport 13.5:139 -j REJECT    美容
$IPT .-I INPUT -p tcp --dport 445 -.j REJECT.
$IPT -.I INPUT -p udp --.dport 445 -j REJECT.
$.IPT -I INPUT -p tc.p --dport 4444 -j REJECT.
$IPT -I INPU.T -.p udp --dport 4444 -j REJECT.
$IPT -I INP.UT -p tcp --dport 5554 -j R.EJECT    美容
$IPT -I INPUT -p. tcp --dport 1434 -.j REJECT.
$IPT -.I IN.PUT -p udp --dport 1434 -j REJECT.
$IPT -I INPUT -.p tcp --dpor.t 2500 -j REJECT域名
$IPT .-I INPUT -p. tcp --dport 5800 -j REJECT             电子
$IPT .-.I INPUT -p tcp --dport 5900 -j REJECT教育
$.IPT -I INPUT -p tcp --dport 6346 -.j REJECT              乙肝
$.IPT -I INPUT -p tcp. --dport 6667 -j REJECT
$IPT -I I.NPUT -p tcp --dport 9393 -j .REJECT.
$IPT -I INPUT -p .tcp --dport 9995 -j REJEC.T虚拟主机
$.IPT -I INP.UT -p tcp --dport 9996 -j REJECT健康
$IPT -I. INPUT. -p tcp --dport 593 -j REJECT    外汇
$IPT -I INPUT. -p udp --dport 593 .-j REJECT.
$IPT -I INPUT -p ud.p --.dport 69 -j REJECT

$IPT -I FORWARD -p tcp --.dport 135:1.39 -j REJECT    美容
$IP.T -I FORWARD -p udp --d.port 135:139 -j REJECT学习
$IPT -I FORWARD -p tcp --dpo.rt 445 -j REJE.CT投资
$.IPT -I FO.RWARD -p udp --dport 445 -j REJECT<性病>
$IPT -I FORWARD -p tcp. --dport 4444 -j .REJECT--- 印刷
$IPT -I F.ORWARD. -p udp --dport 4444 -j REJECT<性病>
$IP.T -I FORWARD -p t.cp --dport 5554 -j REJECT外贸
$IPT -I FORWARD -p tcp --dport 1434 -j R.EJE.CT教育
$IPT -I FORWARD -p udp --dport 1434 -j. .REJECT虚拟主机
$IPT -I FORWARD. -p tcp --dport 2500 -j RE.JECT--- 印刷
$IPT -I FORWARD -p tcp --dpor.t 58.00 -j REJECT          婚庆
$IPT -I FORWARD -p tcp --dport 590.0. -j REJECT.
$IPT -I FORWARD -p tcp --dport 6346 -.j .REJECT             电子
$IPT -I FORWARD -p tcp --dport 6667 -j. REJE.CT.
$IPT -I .FO.RWARD -p tcp --dport 9393 -j REJECT--------------彩票
$IPT -I ..FORWARD -p tcp --dport 9995 -j REJECT电脑
$.IPT -I FORWARD -.p tcp --dport 9996 -j REJECT             电子
$IPT -I FORWARD -p tcp --dport 593 -..j REJECT    外汇
$IPT -I FORWARD -p udp --d.port 593. -j REJECT学习
$IPT -I F.ORWARD -p udp --dport 69 -j .REJECT           女人
$I.PT -A FORWARD -i eth0 -o eth1 -m state --state. NEW -j ACCEPT           建材

请达人帮忙解决，谢谢。 http://upload.bbs.csuboy.com/Mon_1004/126_7100_c7a6b4605790573.gif[/img]http://upload.bbs.csuboy.com/Mon_1004/126_7100_c7a6b4605790573.gif[/img].

[ 本帖最后由 杀.猪刀 于 2009-8-13 09:31 .编辑 ]             电子


最佳答案platinum
http://upload.bbs.csuboy.com/Mon_1004/126_7100_c2515fb4e40125e.gif[/img]试试这个先              乙肝
#! /bin/bash



IPT=/sbin/ip.tables.

/sbin/modprobe. ip_nat_ftp--------------彩票



#Ena.ble ip forwarded.

echo "1">/pro.c/sys/net./ipv4/ip_forward.



#Refresh rules

$IPT -F

$IPT -X

$IPT -F -t nat

$IPT -X -t nat

$IPT -F. -t mangle              乙肝

$IPT -X -t ma.ngle域名



#Def.ault policy健康

$IPT -P INPUT DRO.P.

$IPT -P OU.TPUT ACCEPT虚拟主机

$IPT -P F.ORWARD DROP.



#Enable l.oopback.

$IPT -A INPUT -i l.o -j ACCE.PT.

$IPT -A .INPUT -m state --state RE.LATED,ESTABLISHED -j ACCEPT--- 印刷



#Enable ping

$IPT -A FORWAR.D -s 10.0.0.0/24 .-p icmp -j ACCEPT    外汇

$IP.T -A INPUT -i eth1 -s 10.0.0.0./24 -p icmp -j ACCEPT.



#NAT rules

$IPT .-t na.t -A POSTROUTING -o eth0 -s 10.0.0.59 -j SNAT --to 192.168.37.59    健康

$IPT .-t nat -A POSTROUTING -o eth0 -.s 10.0.0.60 -j SNAT --to 192.168.37.60学习

$IP.T -t nat -A POSTROUTING -o eth0 -s .10.0.0.61 -j SNAT --to 192.168.37.61.

$IPT -t nat -A POST.ROUTING -o eth0 -s 10.0.0.193 -j S.NAT --.to 192.168.37.193             电子

$.IPT -t na.t -A POSTROUTING -s 10.0.0.0/24 -o et.h0 -j SNAT --to-source 192.168.37.1             汽车

$IPT -t nat -A PREROUTING -i eth1 -s 10.0.0.0/24. -p tc.p --dport 8.0 -j REDIRECT --to-port 3128投资



#.Add access rules.

$IPT -A INPUT -i eth.1 -s 10.0.0.0/24 -.p tcp --dport 3128 -j ACCEPT    美容



$IPT -t nat -A PREROU.TING -p ud.p -s 10.0.0.0/24 --dport 53 -j. DNAT --to 192.168.1.33[成人用品]

$IPT -t nat -A PREROUTING -d 192.168.37.245 .-p tcp --dpo.rt 80 -j DNAT --to 10..0.0.2.

$IPT -t nat -A PREROUTING -d 192.168.37.245 -p .tcp --dport 81 -j DNAT --to 10.0..0..44           鲜花

$IPT -t na.t -A PREROUTING -d 192.168..37.245 -p tcp --dport 8001 -j DNAT -.-to 10.0.0.44外贸

$.IPT -t nat -A PREROUTING .-d 192.168.37.59 -j DNAT --to 10.0.0.59健康

$IPT .-t nat -A PREROUTIN.G -d 192.168.37.60 -j DNAT --to 10.0.0.60    美容

$IPT -t na.t -A PREROUTING -d 192.168.37.61 .-j DNAT --to 10.0.0.61[成人用品]

$I.PT -t nat -A PREROUTING -d 192.168.37..193 -j DNAT --to 10.0.0.193服务器



$IPT -A FO.RW.ARD -m state --state ESTABLISHED,RELATED -j ACCEPT.

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p t.cp --dport 21. -j ACCEPT

$IPT -A FORWARD -i eth1 -s 1.0.0..0.0/24 -p tcp --dport 22 -j ACCEPT.

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 23 -j A.CC.EPT    外汇

$IPT -A F.O.RWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 25 -j ACCEPT域名

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p .5.0 -j ACCEPT    #IPSec ESP    美容

$IPT -A FORWARD -i .eth1 -s 10.0.0..0/24 -p 51 -j ACCEPT    #IPSec AH            杀毒

$IPT -A FORWARD -i. eth1 -s 10.0.0.0/24 -p .tcp --dport 80 -j ACCEPT--------------彩票

$IPT -A FORWARD -.i eth1 -s 10.0.0.0/24 -p tcp --dport 8.1 -j ACCEPT            杀毒

$IPT -A FORWARD. -i eth1 -s 10.0.0.0/24 -p. tcp --dport 110 -j ACCEPT.

$IPT -A FORWARD. -i eth1 -s 10.0.0.0/2.4 -p udp --dport 500 -j ACCEPT   #IKE服务器

$IPT -A FORWARD -i eth1 -s 1..0.0.0.0/24 -p udp --dpo.rt 4500 -j ACCEPT  #NAT-T.

$IPT -A FORWARD -p .udp -s 10.0.0.0/24 --.dport 53 -j ACCEPT域名

$IPT -A. FO.RWARD -p tcp -s 10.0.0.0/24 --dport 143 -j ACCEPT健康

$IPT -A .FORWARD -p tcp -s 10.0.0.0/24 --dport. 443 -j ACCEPT

$IPT. -A FORWARD -p tcp -s 10..0..0.0/24 --dport 1433 -j ACCEPT   # sql server enable学习

$IPT -A FORWA.RD -p tcp -s 10.0.0.0/24 --dport 1723 -j ACCE.PT   # PPTP en.able域名

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dpor.t 170.1 -j ACCEPT   # L2TP虚拟主机

$IPT -A FORWAR.D -p udp -s 10.0.0.0/24 --dpor.t .1645 -j ACCEPT   # Legacy RADIUS.

$IPT. -.A FORWARD. -p udp -s 10.0.0.0/24 --dport 1646 -j ACCEPT   # Legacy RADIUS外贸

$IPT -A F.ORWARD -p udp -s 10.0.0.0/24 --dport 1813 -j ACCEPT   # RADIU.S Accou.nting           鲜花

$IP.T -A FORWARD -p udp -s 10.0.0.0/24 --dport 1812 ..-j ACCEPT   # RADIUS Authentication           鲜花

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dpor.t 7708 -j A.CCEPT   # Lianhe z.hengquan[成人用品]

$IPT -A FORWA.RD -p tcp -s 10.0.0.0/.24 --dport 7709 -j ACCEPT   # L.ianhe zhengquan.

$IPT -A FORWA.RD -p .tcp -s 10.0.0.0/2.4 --dport 7711 -j ACCEPT   # Lianhe zhengquan    美容

$IPT -A FORWARD -p. t.cp -s 10.0.0.0/24 --dport 8002 -j ACCEPT   # da zhihui(广告)

$IPT -A .FORWARD -p tcp -s 10.0.0.0/24 --dport 8.601 -j ACCEPT   # Stock.

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 22000 -j .ACCEPT   # Lianhe zhe..ngquan(广告)

$IPT -A FORWARD -p tcp .-s 10.0.0.0/2.4 --dport 22223 -j ACCEPT   # Lianhe .zhengquan.

$IPT -A FORWARD -p tcp .-s 1.0.0.0.0/24 --dport 8080 -j ACCEPT学习

$IPT -A FORW.ARD -i eth1 -s 10.0.0.0/24 -p gre -.j ACCEPT    #GRE            杀毒
复制代码
[ 本帖最后由 platinum 于 20.09-8-14 09:52. 编辑 ]<性病>

试试这个先
#! /bin/bash



IPT=/sbin/iptables

/sbin/modprobe ip_nat_ftp



#Enable ip forwarded

echo "1">/proc/sys/net/ipv4/ip_forward



#Refresh rules

$IPT -F

$IPT -X

$IPT -F -t nat

$IPT -X -t nat

$IPT -F -t mangle

$IPT -X -t mangle



#Default policy

$IPT -P INPUT DROP

$IPT -P OUTPUT ACCEPT

$IPT -P FORWARD DROP



#Enable loopback

$IPT -A INPUT -i lo -j ACCEPT

$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



#Enable ping

$IPT -A FORWARD -s 10.0.0.0/24 -p icmp -j ACCEPT

$IPT -A INPUT -i eth1 -s 10.0.0.0/24 -p icmp -j ACCEPT



#NAT rules

$IPT -t nat -A POSTROUTING -o eth0 -s 10.0.0.59 -j SNAT --to 192.168.37.59

$IPT -t nat -A POSTROUTING -o eth0 -s 10.0.0.60 -j SNAT --to 192.168.37.60

$IPT -t nat -A POSTROUTING -o eth0 -s 10.0.0.61 -j SNAT --to 192.168.37.61

$IPT -t nat -A POSTROUTING -o eth0 -s 10.0.0.193 -j SNAT --to 192.168.37.193

$IPT -t nat -A POSTROUTING -s 10.0.0.0/24 -o eth0 -j SNAT --to-source 192.168.37.1

$IPT -t nat -A PREROUTING -i eth1 -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128



#Add access rules

$IPT -A INPUT -i eth1 -s 10.0.0.0/24 -p tcp --dport 3128 -j ACCEPT



$IPT -t nat -A PREROUTING -p udp -s 10.0.0.0/24 --dport 53 -j DNAT --to 192.168.1.33

$IPT -t nat -A PREROUTING -d 192.168.37.245 -p tcp --dport 80 -j DNAT --to 10.0.0.2

$IPT -t nat -A PREROUTING -d 192.168.37.245 -p tcp --dport 81 -j DNAT --to 10.0.0.44

$IPT -t nat -A PREROUTING -d 192.168.37.245 -p tcp --dport 8001 -j DNAT --to 10.0.0.44

$IPT -t nat -A PREROUTING -d 192.168.37.59 -j DNAT --to 10.0.0.59

$IPT -t nat -A PREROUTING -d 192.168.37.60 -j DNAT --to 10.0.0.60

$IPT -t nat -A PREROUTING -d 192.168.37.61 -j DNAT --to 10.0.0.61

$IPT -t nat -A PREROUTING -d 192.168.37.193 -j DNAT --to 10.0.0.193



$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 21 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 22 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 23 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 25 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p 50 -j ACCEPT    #IPSec ESP

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p 51 -j ACCEPT    #IPSec AH

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 80 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 81 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p tcp --dport 110 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p udp --dport 500 -j ACCEPT   #IKE

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p udp --dport 4500 -j ACCEPT  #NAT-T

$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dport 53 -j ACCEPT

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 143 -j ACCEPT

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 443 -j ACCEPT

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 1433 -j ACCEPT   # sql server enable

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 1723 -j ACCEPT   # PPTP enable

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 1701 -j ACCEPT   # L2TP

$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dport 1645 -j ACCEPT   # Legacy RADIUS

$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dport 1646 -j ACCEPT   # Legacy RADIUS

$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dport 1813 -j ACCEPT   # RADIUS Accounting

$IPT -A FORWARD -p udp -s 10.0.0.0/24 --dport 1812 -j ACCEPT   # RADIUS Authentication

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 7708 -j ACCEPT   # Lianhe zhengquan

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 7709 -j ACCEPT   # Lianhe zhengquan

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 7711 -j ACCEPT   # Lianhe zhengquan

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 8002 -j ACCEPT   # da zhihui

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 8601 -j ACCEPT   # Stock

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 22000 -j ACCEPT   # Lianhe zhengquan

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 22223 -j ACCEPT   # Lianhe zhengquan

$IPT -A FORWARD -p tcp -s 10.0.0.0/24 --dport 8080 -j ACCEPT

$IPT -A FORWARD -i eth1 -s 10.0.0.0/24 -p gre -j ACCEPT    #GRE
复制代码
[ 本帖最后由 platinum 于 2009-8-14 09:52 编辑 ]

顶，大侠看过来

问题3 自己解决了。

问题2，内网（10.0.0.0/24）和eth0（192.168.37.254）之间怎样连接的（物理连接）？

拿分走了,

你的透明代理语句是哪条？即squid开了哪个端口 ？

QUOTE:原帖由 山野村夫 于 2009-8-10 16:02 发表
问题2，内网（10.0.0.0/24）和eth0（192.168.37.254）之间怎样连接的（物理连接）？


代理服务器的两个网卡啊

QUOTE:原帖由 ttplay 于 2009-8-10 16:07 发表
你的透明代理语句是哪条？即squid开了哪个端口 ？


iptables -t nat -A PREROUTING -i eth1 -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-por1 3128

[ 本帖最后由 杀猪刀 于 2009-8-10 16:49 编辑 ]

拓扑图如下：

[ 本帖最后由 杀猪刀 于 2009-8-10 17:13 编辑 ]
未命名.jpg (15.08 KB)
下载次数:10
2009-08-10 17:09