假设客户端 A 为拨号上网 IP 不固定
B 为固定 IP 跳板 222.222.222.222
C 为固定 IP 目标主机 111.111.111.111
场景 1 :
无跳板连接要求是 A 直连 C 的 80 端口
有跳板后的要求是 A 连接 B 的 8080 端口, B 转发至 C 的 80 端口
请问 iptables 规则的写法?
场景 2 :
无跳板连接要求是 A 直连 C 的 80 端口
有跳板后的要求是 A 连接 B 的 8080 端口, B 转发至 C 的 9000 - 10000 随机端口(--random )
今天看了好久的 SNAT 和 DNAT ,目前智商已经超载坏了...
1
smileawei 2015-10-20 20:42:16 +08:00
如果是 tcp 用 haproxy 就可以。
|
2
drlittlemouse OP @smileawei TCP 和 UDP 都需要
|
3
hebwjb 2015-10-20 20:45:36 +08:00
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 111.111.111.111:80
|
4
drlittlemouse OP @hebwjb 只这一条不行吧?
|
5
chinawrj 2015-10-20 20:49:30 +08:00 via Android
DNAT 搞不定这个事情,因为包的返回路由有问题。当然可以配合搞随机选择端口。 iptables+ haproxy 可以。或者 socat
|
6
GPU 2015-10-20 20:52:49 +08:00
|
7
Reficul 2015-10-20 21:02:58 +08:00 1
|
8
ryd994 2015-10-20 22:01:57 +08:00 2
SNAT DNAT 成对用就好了啊
PREROUTING 如果 dst 为本机, DNAT 到目标站 POSTROUTING 如果 dst 为目标站, SNAT 到本机 总之最后的结果是 src 是本机, dst 是目标站,返回包不用考虑,会自动改回来的。 看着这张图你就明白了 https://erlerobotics.gitbooks.io/erle-robotics-introduction-to-linux-networking/content/security/img9/iptables.gif 记得开 ip_forwarding |
9
drlittlemouse OP @Reficul 您提供的文章中有一个 SS-Relay 和我的应用场景类似,配置后已经可用。
总结一下,其实之前对 SNAT 和 DNAT 的理解并没有错, iptables 规则只要关心单向组装流程即可,会包实际上会被自动 UN-SNAT 和 UN-DNAT 。 |
12
chinawrj 2015-10-25 07:16:58 +08:00 via Android
@ryd994 你说的是不用考虑,原话:"如果 dst 为本机, DNAT 到目标站
POSTROUTING 如果 dst 为目标站, SNAT 到本机 总之最后的结果是 src 是本机, dst 是目标站,返回包不用考虑,会自动改回来的。 " 楼主的这个 case 下,如果 B 也是公网机器的话是不能简单使用 DNAT 的,因为客户端连接 A ,然后 A 转发给 B 。使用 DNAT ,则 B 收到包的源地址是客户端,这个没错。但是 B 回复客户端的时候,因为 B 是公网机器不是我们普通的内网以 A 为默认网关的机器,因此包的源地址却变成了 B 且直接发送给 A ,这就造成客户端收到了来自 B 的包,但是其实客户端之前发送的包的目标地址是 A 而不是 B 。在 TCP 协议的情况下, B 回复的包会被直接丢掉。 |