- 主题:iptables的SNAT问题
B上iptables是否允许UDP转发?是否允许UDP的应答包?
iptables的转发、nat、conntrack是比较复杂的,需要仔细检查。
【 在 leeyc 的大作中提到: 】
: tcp的协议貌似都正常,没啥问题
: 但是,udp的好像有问题
: 用conntrack -L查看的结果如下
: ...................
--
FROM 111.196.240.*
A上TCP能通,UDP不通。
如果iptables看起来没问题(比如,没有其它SNAT/DNAT项、没有在OUTPUT丢弃),
测试B能否访问C的UDP。
【 在 leeyc 的大作中提到: 】
: B上的iptables
: -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
: 有这一条其实就够了吧
: ...................
--
FROM 111.196.240.*
有可能需要应用层处理模块,像ftp那样的。
能否穿越nat主要看应用有没有具体的限制。比如我弄个自定义协议,发送端把源IP和目的IP加密放进载荷,在接收端解密,如果源IP无法访问就丢弃,这样的协议就不能穿过NAT。
【 在 leeyc 的大作中提到: 】
: MASQUERADE跟SNAT一样,只是动态地址伪装而已
: 不要纠结这个
: 之前有兄弟说openwrt上也用iptables,我那个路由器正好就是openwrt的系统,在那个路由器上就没问题
: ...................
--
FROM 159.226.95.*