假设客户端 A 为拨号上网 IP 不固定
B 为固定 IP 跳板 222.222.222.222
C 为固定 IP 目标主机 111.111.111.111
场景 1 :
无跳板连接要求是 A 直连 C 的 80 端口
有跳板后的要求是 A 连接 B 的 8080 端口, B 转发至 C 的 80 端口
请问 iptables 规则的写法?
场景 2 :
无跳板连接要求是 A 直连 C 的 80 端口
有跳板后的要求是 A 连接 B 的 8080 端口, B 转发至 C 的 9000 - 10000 随机端口(--random )
今天看了好久的 SNAT 和 DNAT ,目前智商已经超载坏了...
如果是 tcp 用 haproxy 就可以。
TCP 和 UDP 都需要
-A PREROUTING -i eth0 -p tcp -m tcp --dport 8080 -j DNAT --to-destination 111.111.111.111:80
只这一条不行吧?
DNAT 搞不定这个事情,因为包的返回路由有问题。当然可以配合搞随机选择端口。 iptables+ haproxy 可以。或者 socat
這條可以 .加一條 MASQUERADE 到 POSTROUTING
https://xuzhenglun.github.io/2015/02/05/Shadowsocks-relay-based-on-Azure/
不知道对你有木有用,捂脸逃
SNAT DNAT 成对用就好了啊
PREROUTING 如果 dst 为本机, DNAT 到目标站
POSTROUTING 如果 dst 为目标站, SNAT 到本机
总之最后的结果是 src 是本机, dst 是目标站,返回包不用考虑,会自动改回来的。
看着这张图你就明白了 https://erlerobotics.gitbooks.io/erle-robotics-introduction-to-linux-networking/content/security/img9/iptables.gif
记得开 ip_forwarding
您提供的文章中有一个 SS-Relay 和我的应用场景类似,配置后已经可用。
总结一下,其实之前对 SNAT 和 DNAT 的理解并没有错, iptables 规则只要关心单向组装流程即可,会包实际上会被自动 UN-SNAT 和 UN-DNAT 。
回包不考虑是因为 B 利器默认路由是 A 机器。
还是要考虑的吧,就算是默认路由,如果 ip 包的目标不是自己的话,就会转发出去了
你说的是不用考虑,原话:"如果 dst 为本机, DNAT 到目标站
POSTROUTING 如果 dst 为目标站, SNAT 到本机
总之最后的结果是 src 是本机, dst 是目标站,返回包不用考虑,会自动改回来的。 "
楼主的这个 case 下,如果 B 也是公网机器的话是不能简单使用 DNAT 的,因为客户端连接 A ,然后 A 转发给 B 。使用 DNAT ,则 B 收到包的源地址是客户端,这个没错。但是 B 回复客户端的时候,因为 B 是公网机器不是我们普通的内网以 A 为默认网关的机器,因此包的源地址却变成了 B 且直接发送给 A ,这就造成客户端收到了来自 B 的包,但是其实客户端之前发送的包的目标地址是 A 而不是 B 。在 TCP 协议的情况下, B 回复的包会被直接丢掉。
我说了要 SNAT DNAT 配对使用啊……
SNAT 就可以了啊
我说自动改回来是 B 回复 A 的时候, A 会把 DST 改回成客户地址