堡垒防火墙主机ipTables重定向问题

Question

一些背景：

使用RH 13、内核2.6.34.7-63和IPTables 1.4.7构建了防火墙。防火墙是一个简单的双适配器配置，外部接口(eth0)面向internet，另一个接口(eth1)面向小型专用网(单IP子网)。防火墙是一个堡垒主机，意味着防火墙主机只包含操作系统IPTables，并且只包含支持主机本身操作所需的那些项。防火墙不运行任何其他应用程序。

包含在专用网络中的是一个web服务器。

网络:基本地址: 149.10.10.0/24 Web服务器: 149.10.10.25客户端:位于子网上的不同地址。防火墙eth1地址: 149.10.10.1 DNS地址: 149.10.10.2

考虑到内部网络上的客户端可以自由地浏览internet:如果客户端选择了特定的网站(即www.website.com)，我的目标是配置IPTables以替代将客户端重定向到内部web服务器。

• 如果客户端web浏览器要浏览www.website.com，则iptables将客户端重定向到149.10.10.25
• 如果客户端浏览器要浏览任何其他网站，则iptables允许客户端转发到互联网。

我尝试了几个iptable规则，包括：

-v -t nat -A PREROUTING --接口eth1 -dport 80 -d www.website.com -j DNAT -至149.10.10.25

然而，这似乎没有任何效果。

你能推荐一下我应该用来完成这一壮举的规则吗？

Answer 1

假设您可以使用iptables完成这一任务，而且由于149.10.10.25的返回流量具有未路由的特性，所以我不确定您能做到这一点，那么您将重定向与www.website.com相关的ip地址上的所有web主机。

这是不可避免的，因为iptables本质上是一个第3层工具，它处理ip地址而不是HTTP主机名。

我认为您最好在内部网络上安装一个squid代理，将其配置为对一个域名执行重定向，并重新配置您的客户端以使用代理。您还可能希望在堡垒上使用iptables，以防止所有http流量进出您的内部网络，以确保代理被使用。

Answer 2

下面是用于类似规则的语法，但我的通信量是用于内部外部的。

-A PREROUTING -i eth0 -p tcp -m tcp -d -d X.X-dport 80 -j DNAT -to-目的地Y.Y:80

您还需要确保启用了ip_forward和正确的前向规则以允许流量返回。