急!ADSL动态域名,从外面能访问内网web,内部lan却不

kingofswing · 发表于 2004-6-15 21:18:11

#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

# ADD a static route for E-gov.
route add -net 21.0.0.0 netmask 255.0.0.0 gw 192.168.120.2 dev eth0

# Start ADSL Connection
echo "Starting ADSL connection...."
/usr/sbin/adsl-start

# Initialize NAT rules and firewalls
iptables -F
iptables -t nat -F
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_state

# Iptables Rules

echo "Starting IPTABLES RULES ...."
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

# echo "Updating Dynamic domain of hzwsj.3322.org....."
/root/ez-ipupdate-3.0.10-linux-i386/ez-ipupdate -c /root/ez-ipupdate-3.0.10-linux-i386/qdns.conf

# echo "DNAT PPP0 to an internal web server(192.168.120.33:80)....."
/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp --dport 80 -j DNAT --to-destination 192.168.120.33:80

ADSL拨号,域名(abc.3322.org)解析正常, 1)从internet访问http://abc.3322.org正常.
2) 内部从SNAT上internet也正常, 但就是内部LAN访问http://abc.3322.org不行,也即
192.168.120.x/24访问http://192.168.120.33可以,但访问htt://(abc.3322.org解析出来的ppp0不行),
昨天弄了一中午/下午都不行, 哪位XD熟悉,请指教,万分感谢..ing

kingofswing · 发表于 2004-6-17 15:24:05

没人回,痛苦.... 顶一下.

gugong · 发表于 2004-6-18 00:55:03

192.168.120.33 是这个 Linux 机器的 IP 地址吗？

josephvan · 发表于 2004-6-20 12:25:03

你是不是忘了把内部机器的网关设置为出口主机的IP了，
看你上面的情况应该把每一台主机的gateway设置成192.168.120.33

kingofswing · 发表于 2004-6-20 23:07:42

不是的，内部lan的gateway都填192.168.120.254, 254是RH 9.0的内网卡，x.x.120.33是位于内部LAN的NT 4.0 server(拟 upgrade to 2000 server),本来我想在RH 9.0上作web, 可是用户单位对linux不熟.所以只好DNAT到内部主机了.

kingofswing · 发表于 2004-6-20 23:09:52

# ADD a static route for E-gov.
route add -net 21.0.0.0 netmask 255.0.0.0 gw 192.168.120.2 dev eth0

上面那条静态route是让电子政务内网走 192.168.120.2 (1台硬件防火墙的内网卡.)

gugong · 发表于 2004-6-20 23:40:13

晕，画图最好。

KanKer · 发表于 2004-6-21 00:12:00

在某台机器上做个dns服务器，将域名解析成内网的ip应该就可以访问了。

kingofswing · 发表于 2004-6-21 10:09:43

[quote:df8a7e3fcc="KanKer"]在某台机器上做个dns服务器，将域名解析成内网的ip应该就可以访问了。[/quote]

这样做比较麻烦，我内网其实也有一个内部oa的域名服务器，且工作不是很正常，我想通过iptables增加某些规则，达到顺利访问的目的，少很多事情。

josephvan · 发表于 2004-6-21 10:48:09

是不是路由没有开？/proc/sys/net/ipv4/ip_forward

likuku · 发表于 2004-6-23 11:12:02

要做一个内网环回：

把在LAN NIC 上目标 WAN IP www口的包转发到你对应影射的内网Web 服务器 ip上。

kingofswing · 发表于 2004-6-23 14:45:40

[quote:03af4a3664="josephvan"]是不是路由没有开？/proc/sys/net/ipv4/ip_forward[/quote]

这个自然打开的。

kingofswing · 发表于 2004-6-23 14:47:46

[quote:36765fc891="likuku"]要做一个内网环回：

把在LAN NIC 上目标 WAN IP www口的包转发到你对应影射的内网Web 服务器 ip上。[/quote]

谢谢兄弟，道理是明白的，可这条iptables的规则如何写？　没有深入研究过啊，看能不能给个规则的example?

laokan · 发表于 2004-6-23 15:19:23

内网访问是不是要做snat

kingofswing · 发表于 2004-6-23 16:12:40

因为ppp0申请了动态域名，所以abc.3322.org解析出来的公网地址是经常变的。所以实际上最好是这样：内部LAN访问ppp0的８０端口能重定向到192.168.120.33的80端口，不知这样的iptables规则如何写？

		自动登录	找回密码
密码			注册