[问题求助][SuSE] 使用iptables进行nat映射后的问题 [复制链接]

服务器上有两个.网段（10.98.199.*和10.109..231*），http服务的监听地址：10.98.199.4:80电影
   添加的ipt.ables规则如下：             电子
iptabl.es -t nat -A PREROUTING -d 10.109.231.1.1 -p tcp --dport 80 -j DNAT --to-destinat.ion 10.98.199.4:80              乙肝
iptables -t na.t -A POSTROUTING -d 10.98.199.4 -p tcp. --dport 80-j MA.SQUERADE          婚庆
   通过10.109.231.11无.法访问网页。虚拟主机
服务器上tcpdu.mp跟踪发现返回的syn ack没有从原路径返回，而是从10.98.19.9.*网段的网卡发出去了<性病>
  检查route设置正确：
Destinati.on     Gateway         Genmask    .     Fl.ags Metric Ref    Use Iface.
10.109.2.31.0    *               255.255.255.0 U     0   .   0        0 eth86           女人
10.98.199.0     *               255.255.255.0 U     0 .     0     .   0 eth88(        游戏          )
loopback        *               255.0.0.0  .     U     0.      0        0 lo.
default         10..98.199.1     0.0.0.0 .      .  UG    0      0        0 eth88电影
   ping浏览器所在机.器是通.的，且走的10.109.231.*网段的网卡学习
   请.问是什么原因？是不是ipta.bles设置的问题？            杀毒
   等待高手赐教，谢谢！.！！(广告)

理论上无法实现，因为请求被 REDIRECT 了，之后用新的地址进行通信，原始连接失效，因此无正确 SYN/ACK

回复 2# platinum

   多谢版主！
不过不太理解，为什么请求REDIRECT后原始连接失效，iptables规则在linux系统TCP/IP协议栈的那层处理的？
另外是不是这个nat映射只能在web服务器前的网关上完成？

LZ你是一台服务器上两张网卡吧
建议楼主试试：
一。可以两个网卡地址都侦听，就不用NAT了
二。或者修改默认路由是10.109.231*这个接口

QUOTE:LZ你是一台服务器上两张网卡吧
建议楼主试试：
一。可以两个网卡地址都侦听，就不用NAT了
二。或者修改默 ...
lxc521 发表于 2010-03-14 17:00


   第一个方法你的意思是监听0.0.0.0这个IP吧，已经写死IP了不行
   第二个方法已经试过了不行，从版主的回复看和路由没有关系

QUOTE:回复  platinum

   多谢版主！
不过不太理解，为什么请求REDIRECT后原始连接失效，iptables规则在linu ...
hkglave 发表于 2010-03-14 13:44

由于直通路由的关系，在本机上虽然可以 DNAT 转向，但回来的时候是从第二个接口（interface）走的，所以不是 requester 想要的内容
如果在这个不是 server 而是一个专门的 DNAT 机器，真正的 server 在后面，兴许倒是有办法实现

这个案子和多线路策略路由差不多。

QUOTE:由于直通路由的关系，在本机上虽然可以 DNAT 转向，但回来的时候是从第二个接口（interface）走的，所以不 ...
platinum 发表于 2010-03-14 20:16

  
    我的理解是iptables在IP层的处理对TCP层的消息没有影响，IP层将SYN消息NAT转换后转到TCP层处理，TCP响应ACK返回到IP层进行路由，应该可以正常路由出去；当其实并不是这样，难道iptables的处理保存状态？