iptables为内网Web Server做NAT的问题

jorin · 发表于 2005-4-22 10:37:13

Firewall设置如下：

INET_IF="eth0"
INET_IP="202.66.66.4"

LAN_IF="eth1"
LAN_IP="192.168.100.254"
LAN_NET="192.168.100.0/24"

/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -A FORWARD -s $LAN_NET -j ACCEPT
/sbin/iptables -A FORWARD -i $INET_IF -p icmp --icmp-type 0 -j ACCEPT
/sbin/iptables -A FORWARD -i $INET_IF -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -s $LAN_NET -o $INET_IF -j MASQUERADE

为了让外网可以访问内网的一个Web Server：DMZ_HTTP="192.168.100.168"
做以下NAT设置：
/sbin/iptables -A FORWARD -i $INET_IF -d $DMZ_HTTP -p tcp --dport 80 -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -d $INET_IP -p tcp --dport 80 -j DNAT --to-destination $DMZ_HTTP
/sbin/iptables -t nat -A POSTROUTING -d $DMZ_HTTP -p tcp --dport 80 -j SNAT --to-source $INET_IP

我的问题是，这样为Web Server做NAT的话，如果外网的机器把网关设为INET_IP（202.66.66.4），它就可以直接访问 http://192.168.100.168
隐蔽内网的目的没有达到。

该怎么设置才行？

gugong · 发表于 2005-4-23 01:26:02

应该是外网的机器增加一个到 192.168.100.168 的路由 202.66.66.4

实际也只能访问你的 http。

dannycat · 发表于 2005-4-24 22:27:19

[quote:d917340947="jorin"]/sbin/iptables -A FORWARD -i $INET_IF -d $DMZ_HTTP -p tcp --dport 80 -j ACCEPT[/quote]你这句不是允许人家直接访问你的 $DMZ_HTTP 吗？

		自动登录	找回密码
密码			注册