NAT规则问题。

风在哪里

简介：内网的一个服务（腾讯通RTX），内部的用户与外网的用户都要访问，为了统一设置，所以使用公网IP来访问。问题在于内网设置公网IP在NAT上规则配置出错，没有成功。
网络拓扑是 iptables_nat 防火墙；下面接一个netgear的三层交换机，里面配置有8,9个vlan,腾讯通RTX服务端在其中一个VLAN；
    下面说一下iptables_nat上的配置。
两网卡，eth1外网IP(61.154.164.x)，内网与三层上相连的IP为10.10.10.0/24，eth0为10.10.10.1/24,
开机启用这两条命令
route add default gw 61.154.164.x
route add -net 192.168.0.0 netmask 255.255.0.0 gw 10.10.10.2 (dev eth0)
下面是我设置的NAT规则的一些信息
LAN="192.168.0.0/16"
#LAN="10.10.10.0/24"
WAN="61.154.164.x"
EXTIF="eth1" #eth0内网卡，eth1外网卡
INIF="eth0"
#########set netfilter default rule
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
#########set nat default rule
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8000 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8003 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8010 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8012 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8880 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 9000 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 9005 -j ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $EXTIF -s $LAN -j MASQUERADE

iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 8000 -j DNAT --to 192.168.19.218:8000
iptables -t nat -A PREROUTING -p udp -i $EXTIF --dport 9000 -j DNAT --to 192.168.19.218:9000
iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 8012 -j DNAT --to 192.168.19.218:8012
iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 8003 -j DNAT --to 192.168.19.218:8003
iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 8010 -j DNAT --to 192.168.19.218:8010
iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 8880 -j DNAT --to 192.168.19.218:8880
iptables -t nat -A PREROUTING -p tcp -i $EXTIF --dport 9005 -j DNAT --to 192.168.19.218:9005

iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8000 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 9000 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8012 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8003 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8010 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8880 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 9005 -j SNAT --to 10.10.10.1

申明一点：其中192.168.19.218为腾讯通RTX的服器。上面的具体IP没有写出来，网络没有问题。三层也OK，就是内网设置61.154.164.x:8000访问不成功，问题在NAT的规则。
请大家有空帮看一下问题所在。。有需要补充的信息我会及时贴上来。

其中我试过将‘iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 9005 -j SNAT --to 10.10.10.1’这一条命令最后的IP改为公网IP与三层IP10.10.10.2都没有成功，还有试过直接三层去掉，只挂 RTX所在的一个网段也没有成功。。

huanying0003301

建议iptables -P FORWARD DROP   先改成ACCEPT

然后去掉
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8000 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8003 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8010 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8012 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 8880 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 9000 -j ACCEPT
iptables -A FORWARD -i $EXTIF -p tcp -d 192.168.19.218 --dport 9005 -j ACCEPT
最好把网络拓朴图给出来

风在哪里

建议iptables -P FORWARD DROP   先改成ACCEPT

这个试过的。还是一样的。

huanying0003301

这样吧,把你的拓朴贴出来,让大家看看

风在哪里

回复 4# huanying0003301

huanying0003301

回复 5# 风在哪里


    没有环境测试,分析了一下,去下面这些再试试,另外你有没有测试从外网能不能访问内网的服务?

iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8000 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 9000 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8012 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8003 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8010 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 8880 -j SNAT --to 10.10.10.1
iptables -t nat -A POSTROUTING -p tcp -d 192.168.19.218 --dport 9005 -j SNAT --to 10.10.10.1

fireskyno1

楼主可以试试：

1、清除规则，预设规则及开放lo与相关的设定值
PATH=/sbin:/bin:/usr/sbin:/usr/bin; export PATH
iptables -F
iptables -X
iptables -Z
iptables -P INPUT   DROP
iptables -P OUTPUT  ACCEPT
iptables -P FORWARD ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED -j ACCETP
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT

2、Turn on IP forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 327680 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max
echo 20480 >  /proc/sys/net/ipv4/neigh/default/gc_thresh1
echo 40960 >  /proc/sys/net/ipv4/neigh/default/gc_thresh2
echo 81920 >  /proc/sys/net/ipv4/neigh/default/gc_thresh3
echo "1280" > /proc/sys/net/ipv4/tcp_max_syn_backlog
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo 86400 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established

3、清除NAT table 的规则。
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -t nat -P PREROUTING  ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT      ACCEPT

4、映射规则
iptables  -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables  -t nat -A PREROUTING -d 61.154.164.x -p tcp --dport 8000 -j DNAT --to-destination 192.168.19.218 :8000
iptables  -t nat -A POSTROUTING -p tcp -d 192.168.19.218 -j SNAT --to-source 10.10.10.1

企鹅qq

应该是映射没做好的问题。