亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費注冊 查看新帖 |

Chinaunix

  平臺 論壇 博客 文庫
最近訪問板塊 發(fā)新帖
查看: 2829 | 回復(fù): 9
打印 上一主題 下一主題

[網(wǎng)絡(luò)管理] 請教一個 iptables 的問題 [復(fù)制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報告]
發(fā)表于 2011-01-27 09:51 |只看該作者 |倒序瀏覽
大家好,小弟剛開始學(xué)習(xí) iptables,有一個問題請教大家:
我在iptables設(shè)置一下一條規(guī)則:

sudo iptables -t nat -A PREROUTING -p tcp --dport 3500 -j REDIRECT --to-ports 24100

內(nèi)網(wǎng)上其他及其可以正常轉(zhuǎn)發(fā)端口,但是本地機(jī)器卻不能正常轉(zhuǎn)發(fā)端口,請問這是為什么呀?

論壇徽章:
0
2 [報告]
發(fā)表于 2011-01-27 11:24 |只看該作者
本機(jī)數(shù)據(jù)不走 nat 的 PREROUTING 鏈

論壇徽章:
0
3 [報告]
發(fā)表于 2011-01-27 11:36 |只看該作者
本機(jī)數(shù)據(jù)不走 nat 的 PREROUTING 鏈
platinum 發(fā)表于 2011-01-27 11:24

那請問,有什么辦法可以實現(xiàn)本地機(jī)器的端口轉(zhuǎn)發(fā)?

論壇徽章:
0
4 [報告]
發(fā)表于 2011-01-27 11:41 |只看該作者
沒什么好辦法,即使轉(zhuǎn)換了,數(shù)據(jù)回來的時候也無法做到反轉(zhuǎn)換

論壇徽章:
0
5 [報告]
發(fā)表于 2011-01-27 12:01 |只看該作者
回復(fù) 4# platinum
突然想到一個辦法,本地機(jī)器去訪問別的IP,然后在 nat 表中的 output 作 DNAT,改回本機(jī)的IP,再改正端口。

iptables -t nat -A OUTPUT -p tcp -d 10.19.14.129 --dport 3500 -j DNAT -to 10.19.14.128:24100

這樣就OK了。
不過這樣做的缺點就是訪問不了 10.19.14.129 的 3500 端口

論壇徽章:
0
6 [報告]
發(fā)表于 2011-01-27 12:09 |只看該作者
但好像有問題
修改數(shù)據(jù)前
10.19.14.128xxx -> 10.19.14.129:3500
修改后
10.19.14.128:yyyy -> 10.19.14.128:24100

回來的時候
10.19.14.128:24100 -> 10.19.14.128:yyyy
本機(jī)就直接處理了,沒有回到 xxxx 上

論壇徽章:
0
7 [報告]
發(fā)表于 2011-01-27 12:38 |只看該作者
xxxx 為什么會變成 yyyy呢?
那個包的source端口并沒有修改,做了一下實驗,也是沒有問題。
或者是有哪些問題我沒有注意到?

論壇徽章:
0
8 [報告]
發(fā)表于 2011-01-27 12:54 |只看該作者
恩……我覺得最好抓包看一下,因為我記得我沒有實驗成功,很早以前做的了

論壇徽章:
0
9 [報告]
發(fā)表于 2011-01-27 13:46 |只看該作者
本帖最后由 zavakid 于 2011-01-27 13:53 編輯

tcpdump 抓包 sudo tcpdump tcp -i 9 port 24100 or 3500 -n
結(jié)果如下:

13:43:33.156126 IP 10.19.14.128.60218 > 10.19.14.128.24100: Flags [S], seq 761883484, win 5840, options [mss 1460], length 0
13:43:33.156145 IP 10.19.14.129.3500 > 10.19.14.128.60218: Flags [S.], seq 749759732, ack 761883485, win 32792, options [mss 16396], length 0
13:43:33.156161 IP 10.19.14.128.60218 > 10.19.14.128.24100: Flags [.], ack 749759733, win 5840, length 0
13:43:33.156208 IP 10.19.14.128.60218 > 10.19.14.128.24100: Flags [P.], seq 0:548, ack 1, win 5840, length 548
13:43:33.156218 IP 10.19.14.129.3500 > 10.19.14.128.60218: Flags [.], ack 549, win 33428, length 0
13:43:33.165351 IP 10.19.14.129.3500 > 10.19.14.128.60218: Flags [P.], seq 1:759, ack 549, win 33428, length 758
13:43:33.165366 IP 10.19.14.128.60218 > 10.19.14.128.24100: Flags [.], ack 759, win 6822, length 0
13:43:33.165438 IP 10.19.14.129.3500 > 10.19.14.128.60218: Flags [P.], seq 759:887, ack 549, win 33428, length 128
13:43:33.165447 IP 10.19.14.128.60218 > 10.19.14.128.24100: Flags [.], ack 887, win 8338, length 0
13:43:33.165506 IP 10.19.14.129.3500 > 10.19.14.128.60218: Flags [F.], seq 887, ack 549, win 33428, length 0
13:43:33.165936 IP 10.19.14.128.60218 > 10.19.14.128.24100: Flags [F.], seq 548, ack 888, win 8338, length 0
13:43:33.165954 IP 10.19.14.129.3500 > 10.19.14.128.60218: Flags [.], ack 550, win 33428, length 0

看起來抓到的是iptables修改過的包。
對于TCP協(xié)議我不是很懂,但看起來,好像就是 10.19.14.128.24100 和 10.19.14.129.3500 就相當(dāng)于同一個地址了?

論壇徽章:
0
10 [報告]
發(fā)表于 2011-01-27 14:11 |只看該作者
我測試了一下,確實可行,呵呵
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報專區(qū)
中國互聯(lián)網(wǎng)協(xié)會會員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP