iptables“小”问题解决过程，拿出来感慨一下

My FAQ,最新最全的IT技术FAQ

最新100篇 | 推荐100篇 | 专题100篇 | 排行榜 | 搜索 | 在线API文档

当前位置： > 操作系统 > 服务器 > 代理服务器

iptables“小”问题解决过程，拿出来感慨一下

作者:未知时间:2005-09-13 18:53 出处:ChinaUnix.net 责编:My FAQ

摘要：iptables“小”问题解决过程，拿出来感慨一下

同事让我做一个简单的端口映射，以前认为对iptables有所了解，本想很轻松的问题，却煞费我苦心。草写了一下这个过程，拿出来与CU的兄弟姐妹们分享讨论一下。

这里247代表202.*.*.247 ----这是公司的代理服务器
107代表192.168.0.107－－－公司内网的一台机器，不过是双网卡，另一网卡是202.*.*.127（由于这个IP有一定要求，所有没有直接再此IP上配置外网访问8088，而用247的端口映射。）
外网61地址表示一个61.*.*.*的公网地址

这次想尝试将247：12121映射到内网107：8088上
按照以往形式在Iptables表里面写了：
iptables -t nat -A PREROUTING -d 202.*.*.247 -p tcp -m tcp --dport 12121 -j DNAT --to-destination

192.168.0.107：8088
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.107 -p tcp -m tcp --dport 8088 -j SNAT

--to-source 202.*.*.247

本以为这样完全OK了，可是结果呢，两句话全都没有起作用，而且用其他人的机器访问247：12121也没有问题，唯独我的机器有问题，为什么呢？

是不是107这台机器有什么问题呢，用192.168.0.1 ping了一下107,没有问题啊，防火墙权限是开的啊？

哦，那就是107上的Iptables作怪了，ssh上107,iptables stop了一下，再试一试，结果？还是一样，为什么呢？

看了一遍iptables的脚本，发现这部分－－－－－

#43 《我的机器》 open
/sbin/iptables -I FORWARD 1 -s 192.168.0.43 -d any/0 -j ACCEPT
/sbin/iptables -t nat -I PREROUTING -s 192.168.0.43 -d any/0 -j ACCEPT
（这是我刚加的一个 MY IP 全放开的命令，只为了能上上MSN）
首先我把第二句注释掉了，重启IPTABLES，没有什么变化，和以前的结果是一样的。
我又注释掉了第三句，重启，发现有了变化，用192.168.0.*的机器访问202.*.*.247:12121，想要的结果出来了，而外网的地

址仍然不行。这又是为什么呢

原来结果出现变化的原因出现在这里：

43 《我得机器》 open这段话在脚本中是放在端口映射那两句话的后面的，而且都用的参数-I，这样IPTABLES针对-s 192.168.0.43的规则

就变成iptables -t nat -I PREROUTING -s 192.168.0.43 -d any/0 -j ACCEPT，也就是说－j ACCEPT 覆盖了－j SNAT,这样

的话，结果当然不对了。

一个问题就这样解决了，关键的问题又应该如何解决呢？

先接着试：用外网61地址访问247：12121,同时在107上监控一下tcpdump，发现在107这个IP的网卡上，只有61地址》107的包，

107为什么没有回复呢？

再打开127这个IP的网卡，哦，原来在这，这里是107》61地址。－－－－－此时，，好像明白了一些。

理解－－－》61地址访问247：12121，被DNAT成61地址访问107：8088而通过107这个IP的网卡进入107这台机器。107一看是外网

的一个地址，回复：从107》61地址，由于107这台机器的网关设置的是127这个IP，那么107》61地址的包就通过网关127出去访问61的地址了，61地址一看是127来了包，当然不会接受了。所以结果出不来，，原因在此啊。修改网关，改成192。168。0。1再试试，一切OK。

回想起来，其实整个过程并不复杂，由于当时急于解决问题，没有仔细分析整个过程，也没有注意可爱的tcpdump，弄得是花了时间没结果，唉，下不为例了。

段誉回复于：2005-06-14 00:24:12

感谢楼主分享经验，严重支持！

dawei1981 回复于：2005-06-14 16:00:59

顶！~

zzzzzjjjjj 回复于：2005-06-15 11:19:29

其实发表一些自己平时的工作点滴，论坛会很热闹的。

glider126 回复于：2005-06-15 12:15:10

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.107 -p tcp -m tcp --dport 8088 -j SNAT

--to-source 202.*.*.247

这句好像是多余的吧~~~

zzzzzjjjjj 回复于：2005-06-15 13:16:06

呵呵，没有这句话，身处192.168.0.0/24网段的同志们就无法连接247：12121。

zzzzzjjjjj 回复于：2005-06-15 13:26:54

道理是这样的：

192的地址访问247：12121，PREROUTING将包DNAT到192.168.0.107,当107准备回应的时候，一看是192的地址，当然就直接回应过去了，而当192的那个地址收到这个回应的时候，发现自己发给247的请求，怎么107回复了，一概拒收，所以整个请求就不会建立成功，只有通过POSTROUTING去修改这个源地址，才可以让107的回应回到247。

zwwzb 回复于：2005-07-13 07:23:15

学习ing……