關(guān)于linux三線服務(wù)器端口映射的問題�。。。。。�！

hyfb1000

1、公司有一臺三線服務(wù)器A，分別用電信、聯(lián)通、移動線路，三線服務(wù)器A的網(wǎng)關(guān)默認(rèn)使用移動線路。
操作系統(tǒng)CentOS 6.0
Linux網(wǎng)卡配置：
em1   ip=192.168.8.12 內(nèi)網(wǎng)IP
em2   ip=移動IP
em2:0  ip=電信IP
em2:1  ip=網(wǎng)通IP

默認(rèn)網(wǎng)關(guān)設(shè)置在 /etc/sysconfig/network
GATEWAY=移動網(wǎng)關(guān)IP


2、該三線服務(wù)器已經(jīng)做了策略路由(步驟如下)
/etc/iproute2/rt_tables添加
200  CTC
201  CNC

ip route add 電信網(wǎng)段/26 dev em2 table CTC
ip route add default電信網(wǎng)關(guān) table CTC
ip route add 聯(lián)通網(wǎng)段IP/28 dev em2 table CNC
ip route add default via 聯(lián)通網(wǎng)關(guān) table CNC
ip rule add from 電信IP table CTC
ip rule add from 聯(lián)通IP table CNC

3、這樣操作后三線服務(wù)器的三個公網(wǎng)IP都能正常訪問，也可以交叉訪問。再配合智能DNS解析，現(xiàn)在已經(jīng)實現(xiàn)電信進(jìn)來的訪問從電信線路出去，聯(lián)通進(jìn)來的訪問從聯(lián)通線路出去，其他線路進(jìn)來的訪問從移動線路出去，沒有任何問題，一直使用正常。

--------------------------------------------------------------------
下面問題來了！

由于業(yè)務(wù)需求，公司把這臺三線服務(wù)器A作為一臺NAT代理服務(wù)器，內(nèi)網(wǎng)有一臺服務(wù)器B(192.168.8.30)，網(wǎng)關(guān)指向三線服務(wù)器A，目前內(nèi)網(wǎng)服務(wù)器B已經(jīng)能上網(wǎng)，并且在三線服務(wù)器上做了端口映射22030�，F(xiàn)在用移動IP+22030端口可以正常訪問內(nèi)網(wǎng)服務(wù)器B，但是電信IP和聯(lián)通IP加端口就不通。

請問：現(xiàn)在如何通過電信IP和聯(lián)通IP訪問到內(nèi)網(wǎng)服務(wù)器B？



備注：上網(wǎng)找了一些教程，按照下面的步驟做了一下，發(fā)現(xiàn)電信和聯(lián)通的IP訪問內(nèi)網(wǎng)服務(wù)器正常了，但移動IP又不通了，甚至用移動的IP都連接不了三線服務(wù)器A了！不知道問題出在哪！
1、進(jìn)來的數(shù)據(jù)打標(biāo)記
iptables -t mangle -A PREROUTING -i em2 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x100
iptables -t mangle -A PREROUTING -i em2 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x200

2、出去的數(shù)據(jù)打標(biāo)記
iptables -t mangle -A POSTROUTING -o em2 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x100
iptables -t mangle -A POSTROUTING -o em2 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x200

3、轉(zhuǎn)發(fā)到內(nèi)網(wǎng)的數(shù)據(jù)包從鏈接跟蹤記錄還原標(biāo)記到數(shù)據(jù)包中的mark字段
iptables -t mangle -A PREROUTING -i em1 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

4、本地出去的數(shù)據(jù)包從鏈接跟蹤記錄還原標(biāo)記到數(shù)據(jù)包中的mark字段
iptables -t mangle -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

5、標(biāo)識為100的數(shù)據(jù)包走電信網(wǎng)關(guān)，標(biāo)識為200的數(shù)據(jù)包走聯(lián)通網(wǎng)關(guān)
ip rule add fwmark 0x100 table CTC
ip rule add fwmark 0x200 table CNC

6、端口映射和NAT
iptables -t nat -A PREROUTING -p tcp –dport 22030 -j DNAT –to 192.168.8.30:22030
iptables -t nat -I POSTROUTING -s 192.168.8.0/24 -o em2 -j SNAT --to-source 移動IP
iptables -t nat -I POSTROUTING -s 192.168.8.0/24 -o em2 -j SNAT --to-source 電信IP
iptables -t nat -I POSTROUTING -s 192.168.8.0/24 -o em2 -j SNAT --to-source 網(wǎng)通IP


請各位大俠幫忙解答一下，謝謝！

wenhq

tcpdump 抓包看看吧，對比一下。

hyfb1000

哪位大俠了解這方面的技術(shù) 麻煩給個建議，謝謝！

darnis

我想你 可以 嘗試一下，下面兩種 辦法：
方案一：
6、端口映射和NAT
iptables -t nat -A PREROUTING -p tcp –dport 22030 -j DNAT –to 192.168.8.30:22030
iptables -t nat -A POSTROUTING -s 移動IP -dport 22030 -j SNAT --to-source 192.168.8.12
iptables -t nat -A POSTROUTING -s 電信IP -dport 22030 -j SNAT --to-source 192.168.8.12
iptables -t nat -A POSTROUTING -s 網(wǎng)通IP -dport 22030 -j SNAT --to-source 192.168.8.12

方案二：
我沒有試過哈，，你測試一哈這樣子行不？
你把 em1 的IP 地址  再加 2個 em1 共 3 個 IP

6、端口映射和NAT
iptables -t nat -A PREROUTING -p tcp –dport 22030 -j DNAT –to 192.168.8.30:22030
iptables -t nat -A POSTROUTING -s 移動IP -dport 22030 -j SNAT --to-source em1.ip1
iptables -t nat -A POSTROUTING -s 電信IP -dport 22030 -j SNAT --to-source em1.ip2
iptables -t nat -A POSTROUTING -s 網(wǎng)通IP -dport 22030 -j SNAT --to-source em1.ip3

hyfb1000

回復(fù) 4# darnis

非常感謝，不過用你的方法試了一下，還是沒有通，不知道問題出在哪！