关于虚拟地址iptable

Yuri

其实这个问题你复杂化了,你完全可以把他简单化,让你的内网的两个服务器直接设置公网地址.
然后走路由,完全不需要iptables做转换什么的,因为服务器的流量大,如果再用iptables处理一下会使路由器成为整个网络的瓶颈.
所以你就做成老鹰抓小鸡的模式,把公网服务器放到你的后头,然后指路由,去往我后面的服务器的走我的内网口出去.这样的网络拓扑看起来不是十分安全,因为很多人认为他直接暴露在公网上了,但是你实际做出来之后你会发现你的网关仍然可以做包过滤.并且的透明过滤.反而让别人更难探测到网络内部结构.

evis

我们的内网视频通讯都是通过无线设备传输的,视频服务器接在无线设备后面,这些无线设备的ip地址都是固定的,10网段的,没法改,所以没办法设公网地址,只能在网关上做nat来映射.

Yuri

你不用管他无线有线,你的网络结构不变.
你的服务器放到无线后面,胆子够大.无线不稳定是一,不安全是二.

evis

老兄,我们只是在做试点,测试无线设备,安全甚么的肯定会考虑,现在我只是想知道,在现有的网络结构下,为什么虚拟地址映射看不到视频,真实的就可以,这才是问题的关键.

Yuri

里面那台服务器可以出去麽?ping 一下yahoo
然后从外面看看58.*.*.*这个地址是否已经DNAT给了10

faint

楼主应该熟悉下ip的用法。

ip addr add 58.*.*.*/xx dev eth0
.
.
.

ip link set eth0 up
.
.
.

iptables -t nat -A PREROUTING  -j DNAT -d 58.*.*.* --to 10.*.*.*
iptables -t nat -A POSTROUTING -j SNAT -o eth0 -s 10.*.*.* --to 58.*.*.*
iptables -t nat -A POSTROUTING -j SNAT -s $内网ip段 -d 10.*.*.* --to $网关ip


#10.*.*.*想开什么端口就开，比如只开 80 22

iptables -A FORWARD -j ACCEPT -p tcp -d 10.*.*.* --dport 80
iptables -A FORWARD -j ACCEPT -p tcp -d 10.*.*.* --dport 22
iptables -A FORWARD -j REJECT -d 10.*.*.*

搞不懂为什么说iptables会是整个网络的瓶颈.

evis

已经ok了,是无线设备本身也做了nat,和gateway的规则有相冲突的地方.