当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 5 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : 关于IP伪装【求解】
帖子发表于 : 2011-03-26 20:40 
头像

注册: 2008-07-27 8:51
帖子: 717
地址: 广西玉林|广东深圳
系统: Ubuntu/Windows
送出感谢: 1
接收感谢: 3
我想让一台Linux做服务器,让内网的1台电脑用伪装的IP上网,内网这台电脑必须通过Li
nux服务器NAT转发才能上网

Linux服务器的配置:
eth0:接外网 IP 222.21.10.70

eth1:接内网电脑 IP 192.168.1.1


内网电脑:eth0:IP 192.168.1.2

在Linux服务器上配置iptables如下:

代码:

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# fake as 222.21.10.71
iptables -A FORWARD -s 192.168.1.2 -j ACCEPT
iptables -A FORWARD -d 222.21.10.71 -m state --state NEW -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.2 -o eth0 -j SNAT --to-source 222.21.10.71
iptables -t nat -A PREROUTING  -d 222.21.10.71 -i eth0 -j DNAT --to-destination 192.168.1.2


结果内网电脑根本上不了网
我的目的是让内网电脑伪装成 222.21.10.71 上网
Linux服务器用 222.21.10.70 上网


_________________
走过去了也便有了路
http://www.ptpt52.com/


页首
 用户资料  
 
2 楼 
 文章标题 : Re: 关于IP伪装【求解】
帖子发表于 : 2011-03-26 21:51 
头像

注册: 2008-02-15 0:09
帖子: 852
送出感谢: 0 次
接收感谢: 0 次
不可能的,数据是双向的,iptables可以用SNAT把内网主机的来源地址变为222.21.10.71,但外网发回的包会发到222.21.10.71,你的LINUX主机不是这个IP根本收不到。


_________________
Somebody think they are full of niubility, so they play a zhuangbility, but only reflect their shability.


页首
 用户资料  
 
3 楼 
 文章标题 : Re: 关于IP伪装【求解】
帖子发表于 : 2011-03-26 22:18 
头像

注册: 2008-07-27 8:51
帖子: 717
地址: 广西玉林|广东深圳
系统: Ubuntu/Windows
送出感谢: 1
接收感谢: 3
ebok 写道:
不可能的,数据是双向的,iptables可以用SNAT把内网主机的来源地址变为222.21.10.71,但外网发回的包会发到222.21.10.71,你的LINUX主机不是这个IP根本收不到。


是这样的,我给Linux服务器配置两个IP,222.21.10.70 和 222.21.10.71,然后我在外网某主机ping这两个IP都能ping通过,当然,实际响应ping的都是Linux服务器,我想要的效果是让其中一个IP映射到内网的一台电脑上?
求解,谢谢


_________________
走过去了也便有了路
http://www.ptpt52.com/


页首
 用户资料  
 
4 楼 
 文章标题 : Re: 关于IP伪装【求解】
帖子发表于 : 2011-03-26 23:20 
头像

注册: 2008-02-15 0:09
帖子: 852
送出感谢: 0 次
接收感谢: 0 次
iptables -A FORWARD -d 222.21.10.71 -m state --state NEW -j ACCEPT

默认的FORWARD的策略是DROP了,发向222.21.10.71的ESTABLISHED和RELATED状态的包在DNAT后再通过路由判断处理后都DROP掉了

加一条
iptables -A FORWARD -d 222.21.10.71 -m state --state ESTABLISHED,RELATED -j ACCEPT

或者直接
iptables -A FORWARD -d 222.21.10.71 -j ACCEPT


_________________
Somebody think they are full of niubility, so they play a zhuangbility, but only reflect their shability.


页首
 用户资料  
 
5 楼 
 文章标题 : Re: 关于IP伪装【求解】
帖子发表于 : 2011-03-27 9:52 
头像

注册: 2008-07-27 8:51
帖子: 717
地址: 广西玉林|广东深圳
系统: Ubuntu/Windows
送出感谢: 1
接收感谢: 3
ebok 写道:
iptables -A FORWARD -d 222.21.10.71 -m state --state NEW -j ACCEPT

默认的FORWARD的策略是DROP了,发向222.21.10.71的ESTABLISHED和RELATED状态的包在DNAT后再通过路由判断处理后都DROP掉了

加一条
iptables -A FORWARD -d 222.21.10.71 -m state --state ESTABLISHED,RELATED -j ACCEPT

或者直接
iptables -A FORWARD -d 222.21.10.71 -j ACCEPT


找到原因了,必须在Linux服务器上同时绑定两个IP,才能同过iptables 规则对内网电脑进行IP伪装,Linux服务器相当于一个替身


_________________
走过去了也便有了路
http://www.ptpt52.com/


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 5 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译