内网通过网关访问内网服务器的问题!

小毅

我学校现在用RH AS3做网关服务器,
外部 接口 eth0 : 61.145.*.*
内部 接口 eth1 : 10.0.0.4  10.0.0.0/8

内网现在有web 和ftp服务 10.0.0.2:80  10.0.0.2:21

服务器用IPTABLES+SQUID做路由和透明代理.squid的端口是80

IPTABLES的脚本已经做到外网用户能正常访问到内网建立的WEB和FTP服务了,
问题是内网的客户机通过10.0.0.4做网关时就不能用61.145.*.*这个IP访问WEB和FTP服务,
请问要在IPTABLES里加上什么规则才能令内网客户机用61.145.*.*访问到内网的WEB和FTP服务.谢谢

faint

在原来的基础上加上一条。
iptables -t nat -A POSTROUTING -s 61.145.0.0/16 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j SNAT --to-source 10.10.0.4

ftp的也是同理。。。

小毅

不行呀,因爲我的內部squid代理用的端口是80
現在我內網的客戶機一訪問 61.145.*.*
就會出現代理出錯的頁面了!請問還有別的規則嗎?

Bomber

加个网卡，把web和ftp服务器划到DMZ区域就好控制了吧？
个人意见

faint

可能要用到REDIRECT语句吧。我没有做过相类似的，用google找“代理服务器版FAQ”。楼上的也说得不错，加上个网卡，把www和ftp放在DMZ。

BTW：可以把你的脚本贴出来，大家研究研究。

http://www.linuxguruz.com/iptabl ... �趣可以看看。

lin_lin13

这样试一试，成功的话回个贴!
iptables -t nat -A  POSTROUTING -p tcp -s 10.0.0.0/8 -d 10.0.0.2/32 -j SNAT
--to 10.0.0.4

faint

看不懂你写的这条和我写的那条有什么区别。呵呵。

faint

iptables -t nat -A PREROUTING -d 10.0.0.0/8 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.4
iptables -t nat -A POSTROUTING -s 61.145.0.0/16 -d 10.0.0.2 -p tcp -m tcp --dport 80 -j SNAT --to-source 10.10.0.4

另外，前面有了相类似的一句？
iptables -A INPUT -d 10.0.0.2 -p tcp -m tcp --dport 80 -i eth0 -j ACCEPT

Bomber

突然想到,似乎做子接口也可以哦
就是把连接LAN的网卡做两个IP段,这样就可以控制了吧
不过这个没有试过,你可以先试验一下,呵呵~~
参考这个帖子
http://www.linuxsir.cn/forum.php?mod=viewthread&tid=6175

faint

这样做很容易修改LAN的ip吧，比如，子网1的某pc改下ip不是变成另外的一个子网了？