Linux伊甸园论坛 » Linux/Unix系统安全 » iptables OUTPUT DNAT问题？？

elephantgang 发表于 2003-12-26 10:00

iptables OUTPUT DNAT问题？？

linux pc ip address : 192.168.1.6
web service:          192.168.1.8:80

我在LINUX PC使用iptables 设置OUTPUT DNAT将LINUX PC自己访问
自己的80端口的目的地址 192.168.1.6：80 --〉192.168.1.8：80；
但是我在LINUX主机telnet 192.168.1.6 80失败,我在系统抓包发现
OUTPUT DNAT生效,但是web回应的数据包源地址与LINUX PC发送SYN
要请求的目的地址不符（192.168.1.8/192.168.1.6）：

访问：
1\ syn send:
  源： 192.168.1.6         目的： 192.168.1.6：80
  经过OUTPUT DNAT          目的:  192.168.1.8: 80

2\ ack syn
  
  源： 192.168.1.8:80     目的： 192.168.1.6

3、 RST
  源： 192.168.1.6  目的： 192.168.1.8：80


iptables -t nat -A OUTPUT -d 192.168.1.6 -p tcp --dport 80\
    -j DNAT --to 192.168.1.8


     --->PRE------>[ROUTE]--->FWD---------->POST------>
              Conntrack    |       Mangle   ^    Mangle
              Mangle       |       Filter   |    NAT (Src)
              NAT (Dst)    |                |    Conntrack
              (QDisc)      |             [ROUTE]
                           v                |
                           IN Filter       OUT Conntrack
                           |  Conntrack     ^  Mangle
                           |  Mangle        |  NAT (Dst)
                           v                |  Filter

flag 发表于 2003-12-26 14:44

nat是这样用吗？奇怪。

xga25 发表于 2003-12-26 21:29

DNAT 应该用在PREROUTING中啊！
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT 192.168.1.8

poonline 发表于 2003-12-30 11:22

是啊，偶也考虑过这个问题

当从防火墙访问一个dmz区域内主机，如果他访问的是该主机的internet地址，则收到的返回信息就是错误的
output nat EXT_IP -> DMZ_IP
但从DMZ区域返回的DMZ_IP无法匹配EXT_IP
:confused:

查看完整版本: iptables OUTPUT DNAT问题？？