做了一個iptables,不過好像不行

sheeps7

主要是想把ssh 進去,把它轉到另外一台機
不過好像不行,ssh不進去

#!/bin/sh
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -Z
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -t nat -Z
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 192.168.0.200:22

系統是剛剛建的,debian 3.1, mini install 只是用來做iptable.
192.168.0.200沒有防火牆, 如果我直接putty進192.168.0.200就可以,
第一台的ip是192.168.0.199,是同一個network來的

Yuri

怎么回是DNAT呢?

sheeps7

問題已經解決了, 在後面加一句
iptables -t nat -A POSTROUTING -p TCP --dport 22 -j MASQUERADE

我想問題應該是
當我用一台機(192.168.0.198) ssh進 192.168.0.199時, 199把tcp的包轉到192.168.0.200, 200做出了反應,直接回應198,但198收到時卻丟掉,因為它沒有發包給200.
加了這句後
iptables -t nat -A POSTROUTING -p TCP --dport 22 -j MASQUERADE
199把要轉到200的包先MASQUERADE, 200收到後回應199, 199再把包回送198.
不知我這樣的解析對不對

謝謝大大們的回應  深感感激

但我想問,這句是否最好的呢,對系統有否不好.
iptables -t nat -A POSTROUTING -p TCP --dport 22 -j MASQUERADE


thanks all

memory

应该是楼主说的这么个流程。问题是应该用：
iptables -t nat -A POSTROUTING -p TCP -d 192.168.0.200 --dport 22 -j MASQUERADE
来限制目的地址，否则所有到ssh端口的通信全部nat。
这么用没有什么问题，我曾经做过两级nat，没什么异常。

sheeps7

但是下面的這句話,也把所有到ssh端口的通信全部轉到200了

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to 192.168.0.200:22

有更好的方法嗎?

thinking...

memory

本机ssh换端口，或者指定源地址范围。

sheeps7

yes, you are right.

sheeps7

本机ssh换端口,
I want to ask , How to change, or  where I can change in redhat or Debian.

memory

够晕的，找sshd的配置不就能改了吗。
找/etc/ssh/sshd_config中的port。