怎么关掉这个ip段对我的访问?

BTworm

这样做的前提是，B是iptables的防火墙，A是防火墙后面的HTTP服务器。那么，要想让别人从外面访问A的HTTP(当然要通过B)，B要做以下两点： 1. 将所有到80端口的包DNAT至A(的IP)；2. FORWARD所有从外网界面(EXT)80端口的包到内网界面(INT)。A要做到：1. 打开HTTP服务，并保证本身的iptables的INPUT允许80口的访问；2. 将缺省路由指向B。

Snoopy

高，，，，另外你知道的，比如163，你每一次ping都会出现不同

的ip，他是使用分布式的，也就是说，你浏览www.163.com可以用

几台机来承担，，如果要实现这样，，怎么办啊？？

iptables可以解决的吗？？？好象不可以了是不？

BTworm

比如163，你每一次ping都会出现不同的ip

那是因为他们在DNS上做了负载均衡(load balancing)。用iptables也可以做负载均衡。
假设你有四台WEB服务器通过iptable防火墙与internet相连，外网地址为1.2.3.4，内网用192.168.xxx.xxx的保留地址，四台服务器的地址为192.168.100.1 - 192.168.100.4，那么在防火墙上的iptables就可以这么写：

iptables -t nat -A PREROUTING -p tcp --dport 80 -d 1.2.3.4 -j DNAT --to-destination 192.168.100.1-192.186.100.4:80
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 80 -j ACCEPT

参考我上个回贴，关于对B的要求，你就能理解上两行的含义了。与163不同的是，你只会以一个IP出现在INTERNET上，别人不会知道有你有一个负载均衡的服务器群在提供服务

Snoopy

但你这样是一个ip也，，，如果要多个ip，iptables是不是就解决

不了了？？

他们可以在dns上做负载均衡？？他们怎么有这个能力呢？？

他们可以修改163上dns的信息？

BTworm

[qoute]但你这样是一个ip也，，，如果要多个ip，iptables是不是就解决

不了了？？[/quote]
没错。因为主机名的解析不是iptables的功能。

他们可以在dns上做负载均衡？？他们怎么有这个能力呢？？他们可以修改163上dns的信息？

你说的“他们”是指163.com的系统管理员吧，他们当然能更改他们的DNS，管理DNS服务器是他们的责任之一呀。一个正式的“域”(domain)里必须有两个DNS服务器负责这个域的IP解析。

关于DNS实现的负载均衡，我记得不是很清楚了。好象和iptables实现负载均衡的方式很相似，一个主机名对应多个IP，或一个IP域。具体的可以咨询一下DNS高手。

Snoopy

dns高手去哪里找啊？？？都没遇到也，，

iptabels 的nat是不是服务器才可以设，我们内部网的nat使用不到

是不是？比如我有个合法ip，是家里的电脑，

比如我现在开http，但只能内部网才能看到

如何用nat转到家里那台机啊，是不是要服务器同意才可以

内部网我们有能力转吗？？也就是那个nat，，？？

或者iptables可以在这方面使用吗？