關(guān)于版主－精靈使提出的那經(jīng)典問題請版主給出經(jīng)典解決方法

goldenwillow

版主－精靈使在回“如何用iptables實(shí)現(xiàn)狀態(tài)檢測? ”的7樓提出了如下問題：

1、DNS服務(wù)器在網(wǎng)絡(luò)外部，為對你的WWW訪問提供解析。
2、WWW服務(wù)器在你的網(wǎng)絡(luò)內(nèi)部DMZ區(qū)中，并且是私有IP。
3、在LINUX網(wǎng)關(guān)上做了DNAT來轉(zhuǎn)發(fā)外部的流量并且在出口上做SNAT帶動私網(wǎng)上網(wǎng)。

問題：此時(shí)你內(nèi)部的私網(wǎng)能夠訪問WWW服務(wù)嗎？為什么？

我的環(huán)境也正是如此，只得在內(nèi)網(wǎng)架設(shè)DNS服務(wù)器解決了解析的問題。盼望版主進(jìn)一步闡明此問題的原因，以便兄弟沒對iptables有一個更深的理解，并給出好的解決辦法。期待~~~~~~~~

platinum

1、DNS服務(wù)器在網(wǎng)絡(luò)外部，為對你的WWW訪問提供解析。
2、WWW服務(wù)器在你的網(wǎng)絡(luò)內(nèi)部DMZ區(qū)中，并且是私有IP。
3、在LINUX網(wǎng)關(guān)上做了DNAT來轉(zhuǎn)發(fā)外部的流量并且在出口上做SNAT帶動私網(wǎng)上網(wǎng)。

問題：此時(shí)你內(nèi)部的私網(wǎng)能夠訪問WWW服務(wù)嗎？為什么？

不一定，要看你第 3 步具體怎么做的

goldenwillow

只知道全局做DNAT和在外網(wǎng)口上做DNAT這兩種方式。請版主闡明具體做法，最好能結(jié)合實(shí)例。呵要求有點(diǎn)高版主勿怪。謝謝了

ssffzz1

我以前有一個帖子，說這個問題�，F(xiàn)在我重發(fā)一遍：
看到論壇內(nèi)很多弟兄做了DNAT,外網(wǎng)正常訪問,內(nèi)網(wǎng)卻無法訪問.現(xiàn)將原因總結(jié)如下:
設(shè)網(wǎng)絡(luò)結(jié)構(gòu)如下：

外網(wǎng)某機(jī)器為W1，路由器為R1，內(nèi)網(wǎng)服務(wù)器為S1，內(nèi)網(wǎng)某機(jī)器為C1，設(shè)服務(wù)為80
地址分布如下：
R1：外（eth0）：192.168.0.5 內(nèi)(eth1)：192.168.1.254
S1：192.168.1.5
C1：192.168.1.8

原因如下：
外網(wǎng)為什么能成功：
當(dāng)W1以某IP端口80訪問R1的外網(wǎng)地址192.168.0.5時(shí)，數(shù)據(jù)包到達(dá)192.168.0.5的接口eth0，ROS根據(jù)DNAT規(guī)則做了到S1 192.168.1.5的轉(zhuǎn)發(fā)，S1 192.168.1.5收到來自某IP的包后S1會發(fā)出正確的相應(yīng)，此響應(yīng)的目的IP為W1的IP，根據(jù)默認(rèn)網(wǎng)關(guān)（R1的eth1）192.168.1.254規(guī)則把回應(yīng)包發(fā)到R1，因?yàn)镽1先前DNAT的關(guān)系（有DNAT的記錄），R1回做一個反方向的NAT轉(zhuǎn)發(fā)，從而數(shù)據(jù)包能夠正確的到達(dá)W1，因此能夠正確通信。
內(nèi)網(wǎng)為什么不能成功：
1、        DNAT規(guī)則是針對eth0口配置的：
設(shè)R1的DNAT規(guī)則：iptables –t nat –A PREROUTING –i eth0 –p tcp –m tcp –d 192.168.0.5 –dport 80 –j DNAT –-to-destinstion 192.168.1.5
當(dāng)C1以192.168.0.5為目的IP訪問80服務(wù)的時(shí)候，數(shù)據(jù)包從192.168.1.254口傳入，R1根據(jù)路由規(guī)則，會把目的192.168.0.5的地址直接送到上層接口，而不會經(jīng)過R1為eth0接口配置的DNAT規(guī)則，那么此時(shí)192.168.0.5開了80服務(wù)了嗎？很顯然沒有，因此無法訪問。

2、        DNAT的規(guī)則是全局的：
設(shè)R1的DNAT規(guī)則：iptables –t nat –A PREROUTING –p tcp –m tcp –d 192.168.0.5 –dport 80 –j DNAT –-to-destinstion 192.168.1.5
當(dāng)C1以192.168.0.5為目的IP訪問80服務(wù)的時(shí)候，數(shù)據(jù)包從192.168.1.254口傳入，R1根據(jù)DNAT規(guī)則會把此數(shù)據(jù)包DNAT到正確的S1服務(wù)器192.168.1.5，當(dāng)S1收到包的時(shí)候S1會根據(jù)自己的路由表不經(jīng)過R1的轉(zhuǎn)發(fā)而會直接把數(shù)據(jù)發(fā)到C1，因?yàn)镃1和S1是在同一個網(wǎng)絡(luò)，這時(shí)候C1回收到S1的回應(yīng)，按說此時(shí)應(yīng)該能正常通信。但不幸的是我們忽略了源IP的問題。C1是把數(shù)據(jù)包發(fā)給的是R1的外網(wǎng)IP 192.168.0.5，而收到的IP的源地址卻是S1的IP192.168.1.5，雖然數(shù)據(jù)包的除IP外所有的都是正確的，但C1仍然不會接受，會把這個包丟棄的。因此通信還是無法進(jìn)行。

解決辦法：
1、        從DNS入手，在內(nèi)網(wǎng)設(shè)置自己的DNS，或者編輯client的hosts表把S1的地址不要解析成外網(wǎng)的IP，這樣就變成內(nèi)網(wǎng)的通信，還不占用ROS的帶寬。這是我首推的方法。
2、        如果一定要走ROS，首先你要為每個可能進(jìn)入的接口配置相應(yīng)的DNAT策略，當(dāng)然使用我上面舉例的全局策略就完全可以的，那么我們下面應(yīng)該如何設(shè)置呢？又有兩種情況：
1）        如果可以把服務(wù)器放到一個單獨(dú)的網(wǎng)段請你及時(shí)這樣做。因?yàn)檫@樣可以避免攻擊，便于控制等等好處N多了。麻煩就是需要ROS多加一個網(wǎng)卡當(dāng)然如果你配置多地址的話，網(wǎng)卡都可以省了，不過這么省不太好吧。當(dāng)然還需要配置正確的SNAT。
2）        有些人說我就不能放到單獨(dú)的網(wǎng)段，那我也有辦法，這是我最不贊成的方法，就是請你刪掉S1上到192.168.1.0網(wǎng)絡(luò)的路由表項(xiàng)目，這樣會強(qiáng)制S1到C1的數(shù)據(jù)包走R1，這樣R1就可以實(shí)施相反的轉(zhuǎn)換，當(dāng)然也就可以正常通信了。
route del –net 192.168.1.0 netmask 255.255.255.0 gw * dev eth1

kenduest

這個問題不是很好解決嗎 ? 就是一條 POSTROUTING rule 搭配 MASQUERADE rule 即可

置頂內(nèi)的 iptables faq 內(nèi)也已經(jīng)有提到解決方式, 這包含 netfilter NAT HOWTO 內(nèi)也有提供解決方式.

dns 等方式雖然方便, 但是依據(jù)我個人實(shí)際經(jīng)驗(yàn)時(shí)有時(shí)候 client 端可能有機(jī)會配置使用其他 dns 導(dǎo)致查詢到外網(wǎng) ip, 所以還是得考慮真的發(fā)生內(nèi)網(wǎng)瀏覽 nat 該主機(jī)對外 ip 問題.


--

[ 本帖最后由 kenduest 于 2007-8-16 19:33 編輯 ]

hahasasa

哈哈，典型的三角TCP握手問題。。。做個MASQUERADE就OK啦

mxbao

好像直接加一個規(guī)則,內(nèi)網(wǎng)地址訪問,就用snat,改變成內(nèi)網(wǎng)網(wǎng)關(guān)的ip,就ok了吧