求教网关，代理不同机的透明web代理的iptable写法

skylove · 发表于 2003-12-20 16:44:42

网关为双网卡，其对外ip有个（这里需要不到），eth1为内部网络，ip为192.168.0.1 ；web代理机器为内部网络某机，ip为192.168.0.2，代理端口为3128,经测试作不透明网关时候能让内部其他机器成功代理出去。

现在麻烦的是我想实现透明代理。。。在网关机器上尝试用iptables（已测试其工作正常，为此我特别在网关机器上架设了一个临时squid，用 /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 命令工作完全正常，但是用192.168.0.2的时候就不知道该怎么写了。。。）

我分别尝试了使用以下两句
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:3128 -s ! 192.168.0.2
或
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 192.168.0.2:3128 -s ! 192.168.0.2
或
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.0.2:3128 -s ! 192.168.0.2

三种写法均不能成功，现特向各位朋友求教了。。。

skylove · 发表于 2003-12-20 19:01:31

搞定收工。。。就三句忙碌了我一下午。。靠~！
eth1是偶的内部网卡

/sbin/iptables -t nat -A PREROUTING -i eth1 -s ! 192.168.0.2 -p tcp --dport 80 -j DNAT --to 192.168.0.2:3128

/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.0/24 -d 192.168.0.2 -j SNAT --to 192.168.0.1

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.2 -i eth1 -o eth1 -p tcp --dport 3128 -j ACCEPT

推荐各位收藏一下。。。嘿嘿，我可是在网络上查了一下午呢。。。

		自动登录	找回密码
密码			注册