难道我同网段的访问还受其所谓的网关10.10.1.1的iptables语句的指示吗？

河边星星

引用如此网页的一点内容:http://www.cx66.com/cxgzs/tips/1216.htm

Eth0:连接ADSL，即ppp0接口
Eth1：连接内部网络，ip为10.10.1.1
10.10.2.200为win2k服务器，其端口881提供网络服务。



iptbles脚本：
iptables –A INPUT –p tcp –dport 881 –i ppp0 –j ACCEPT
iptables -t nat -A PREROUTING -p tcp -m tcp --dport 881 -j DNAT --to-destination 10.10.2.200:881 ;将881请求发至10.10.2.00:881端口
可以理解为访问其eth0地址的881时去转到内部其它电脑的881端口.

iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -d 10.10.2.200 -p tcp -m tcp --dport 881 -j SNAT --to-source 10.10.1.1 ;

这句就有点不理解了,
是内部的电脑访问win2K服务的881时其源地址会更改为10.10.1.1吗？

这是什么意思.难道我同网段的访问还受其所谓的网关10.10.1.1的iptables语句的指示吗？
还是此处应改为
iptables -t nat -A POSTROUTING -d 10.10.2.200 -p tcp -m tcp --dport 881 -j SNAT --to-source 10.10.1.1 ;
是原作者有误呢?如果无误码,其应怎样理解..

不胜感激.

河边星星

iptables –N test （新建一个test表）
iptables –A test DROP
iptables –A test –p tcp –dport 80 –j ACCEPT(允许80端口被访问)
iptables –A INPUT –j test
iptables –A OUTPUT –j test
iptables –A FORWARD –j test（这3条的意思指让INPUT OUTPUT FORWARD都按照test的设置）


有发现有错误吗？

iptables -A test -j DROP
iptables -A test -p tcp --dport 80 -j ACCEPT
才對,
由此可見,不能全信網上的文摘.

Chowroc

iptables -t nat -A POSTROUTING -d 10.10.2.200 -p tcp -m tcp --dport 881 -j SNAT --to-source 10.10.1.1 ;
我想，这应该是使你的内部网络可以使用拨号后得到的公网IP访问你的服务器。

Freebird

Post by Chowroc
iptables -t nat -A POSTROUTING -d 10.10.2.200 -p tcp -m tcp --dport 881 -j SNAT --to-source 10.10.1.1 ;
我想，这应该是使你的内部网络可以使用拨号后得到的公网IP访问你的服务器。

做SNAT转换，当你要访问10.10.2.200这个Server的881端口时，你将要通过Firewall，把你的TCP头部信息中的源IP地址重写为10.10.1.1。当然这个地址为你的网关咯。