iptables作端口映射 每回只能成功连一次？why?

Osirix

连接外网的机器1网络:
eth0: 192.168.0.5  #连接内网
eth1:10.200.0.9   #连接外网
内网中机器2的ip: 192.168.0.2

想映射内网192.168.0.2机器上的sshd (端口22), 到机器1 端口322上, 在rc.local文件中iptables是这么写的:

1. 
   
2. iptables -t nat -A PREROUTING -d 10.200.0.9 -p tcp --dport 322 -j DNAT --to 192.168.0.2:22
   
3. iptables -t nat -A POSTROUTING -d 192.168.0.2 -p tcp --dport 22 -j SNAT --to 192.168.0.5:322
   
4. iptables -A FORWARD -o eth0 -d 192.168.0.2 -p tcp --dport 22 -j ACCEPT
   
5. iptables -A FORWARD -i eth0 -s 192.168.0.2 -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
   

复制代码

为什么在第一次成功连接322端口的ssh后, 再连它就没反应了呢?

Osirix

也就是说不能同时连两个ssh...

1. 
   
2. # iptables -L
   
3. Chain INPUT (policy ACCEPT)
   
4. target     prot opt source               destination         
   
5. 
   
6. Chain FORWARD (policy ACCEPT)
   
7. target     prot opt source               destination         
   
8. ACCEPT     tcp  --  anywhere             192.168.0.2         tcp dpt:ssh
   
9. ACCEPT     tcp  --  192.168.0.2          anywhere            tcp spt:ssh state RELATED,ESTABLISHED
   
10. 
    
11. Chain OUTPUT (policy ACCEPT)
    
12. target     prot opt source               destination         
    
13. 
    
14. Chain RH-Firewall-1-INPUT (0 references)
    
15. target     prot opt source               destination  
    

复制代码

orphen

Post by Osirix
连接外网的机器1网络:
eth0: 192.168.0.5  #连接内网
eth1:10.200.0.9   #连接外网
内网中机器2的ip: 192.168.0.2

想映射内网192.168.0.2机器上的sshd (端口22), 到机器1 端口322上, 在rc.local文件中iptables是这么写的:

1. 
   
2. iptables -t nat -A PREROUTING -d 10.200.0.9 -p tcp --dport 322 -j DNAT --to 192.168.0.2:22
   
3. iptables -t nat -A POSTROUTING -d 192.168.0.2 -p tcp --dport 22 -j SNAT --to 192.168.0.5:322
   
4. iptables -A FORWARD -o eth0 -d 192.168.0.2 -p tcp --dport 22 -j ACCEPT
   
5. iptables -A FORWARD -i eth0 -s 192.168.0.2 -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
   

复制代码

为什么在第一次成功连接322端口的ssh后, 再连它就没反应了呢?

你的iptables配置有错

1. iptables -t nat -A PREROUTING -d 10.200.0.9 -p tcp --dport 322 -j DNAT --to 192.168.0.2:22
   
2. iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth1 -j SNAT --to 10.200.0.9
   
3. iptables -A FORWARD -o eth0 -d 192.168.0.2 -p tcp --dport 22 -j ACCEPT
   
4. iptables -A FORWARD -i eth0 -s 192.168.0.2 -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT

复制代码

Osirix

不行啊, 这样iptables -F后, 第一次连都连不上了...

Osirix

原来还是第二句的问题:

1. 
   
2. iptables -t nat -A POSTROUTING -d 192.168.0.2 -p tcp --dport 22 -j SNAT --to 192.168.0.5
   

复制代码

最后不要限制端口就好了

1ball

多个连接肯定要多个端口，端口限制成一个当然只有一个连接