如何定位整个网段？

Question

我正试图在我的家庭网络上设置一个文章和一个前一个问题的发夹。我的网络在下面，主机B提供一些服务，让我们满足于SSH端口22)

发夹的原因是典型的:我在互联网DNS上定义了ssh.example.com，它指向端口2223上的公共IP (200.200.200.200)。此端口通过以下方式重定向到主机B (192.168.10.2:22)

iptables -t nat -A PREROUTING -i nicWan -p tcp --dport 2223 -j DNAT --to-destination 192.168.10.2:22

我希望能够从主机192.168.10.2:22通过

ssh 200.200.200.200 -p 2223

尽管从1994年开始对Linux机器进行管理，但我从来没有仔细研究过iptables，因为我使用的是shorewall和简单的firehol。

我最初的问题是理解发夹是否适用于“来自局域网”的整个流量，还是需要每个目的端口的规则(我提到的引用和其他几个不同的引用，我更喜欢前者)。

主要问题来自我对iptables上下文(链)中需要设置什么的地方缺乏了解。我明白这次行动的原因(第一次很清楚)，只是我不知道该把它放在哪里。

具体来说，我如何用iptables语言对192.168.10.0/24上的任何设备中的数据包进行NAT，这些数据包想要转到200.200.200.200，然后伪装起来，这样它们才能回来？

Answer 1

我会说，您的接口是错误的，因为您来自主机A的流量会影响您的nicLan，而不是nicWan。

就像你说的，你需要伪装，这样你的退货包就能找到合适的地方。第二个规则掩盖了来自本地子网并返回到本地服务器的所有通信量。

iptables -t nat -A PREROUTING -i nicLan --destination 200.200.200.200/32 --jump DNAT --to-destination 192.168.10.2
iptables -t nat -A POSTROUTING -o nicLan --source 192.168.10.0/24 --destination 192.168.10.2/32 --jump MASQUERADE

正如您所看到的，我没有定义任何端口，所以从局域网到您的公共地址的所有通信量都是DNATted到本地局域网中的服务器。

如果需要，不要忘记在过滤器表中添加允许规则。