※ 引述《NKill (可樂戒指)》之銘言:
: 我有一台Linux ,設定 dhcp 跟 NAT
: PCA
: Linux <--->
: PCB
: Linux WAN ip 1.2.3.4
: LINUX LAN ip 192.168.1.1
: PCA ip 192.168.1.2
: PCB ip 192.168.1.3
: PCA上面裝了 http server
: AP 設定 Port Forward 到 PCA
: 我希望能從PCB 打 AP的 WAN IP 就能存取 PCA的網頁
: 1. iptables -t nat -I PREROUTING -i br0 -d 1.2.3.4 -j DNAT --to 192.168.1.2
: 2. iptables -t nat -I POSTROUTING -s 192.168.1.1/24 -o br0 -d 192.168.1.2 -j SNAT --to 192.168.1.1
: iptables -L -vn -t nat 看到 1. pkg 會增加 但是 2.pkg 不會增加
: ip_forward 1
: 請各位指點一下迷津 謝謝
我後來想一想,封包不經過 rule 2 是合理的,
因為在 PREROUTING 時,該筆連線已經記錄於 connection tracking table 裡了,
該連線之後的封包在連線追蹤機制下,都不會經過 rule 1 及 rule 2,
且,網路的區段規劃為 PCA 與 PCB 都在同一個網段中,
所以若 PCB 連線至 AP,再導向給 PCA,
封包 IP 位址的變化應為 :
PCB 送出 PCA 收到
[SRC IP: PCB/DST IP: AP] [SRC IP: PCB/DST IP: PCA]
因此,由於SRC IP: PCB 與 PCA 是同網段,
PCA 應在 ARP table 中即能得知 PCB 的 MAC/IP,
一般就不會送給 default route gateway AP,而是直接送給 PCB
但是 PCB 收到的封包位址變成這樣 [ SRC IP: PCA/DST IP: PCB ]
PCB 不會知道這個封包是原本送給 AP 的回應 [SRC IP: PCB/DST IP: AP] ,
照理說,這樣網頁應該是不會通。
應該將 PCB 與 PCA 的 IP 規劃為不同的子網路或網段。
--
All Comments