有关iptables做nat服务器的问题

显示全部楼层 · 2021-1-27 06:15:28

用一台服务器设置iptables做成nat服务器，主机通过nat服务器访问服务器A和服务器B。结果主机可以正常访问服务器A但是无法访问服务器B，请大神看看有没有办法定位解决？

NAT服务器的配置参数：
*nat
:PREROUTINGACCEPT[0:0]
:OUTPUTACCEPT[0:0]
:POSTROUTINGACCEPT[0:0]
-APREROUTING-ieth1-ptcp--dport10210-jDNAT--to-destination172.16.51.210:2200
-APREROUTING-ieth1-ptcp--dport10213-jDNAT--to-destination172.16.51.213:2200
-APREROUTING-ieth1-ptcp--dport10209-jDNAT--to-destination172.16.51.209:2200
-APREROUTING-ieth1-ptcp--dport10212-jDNAT--to-destination172.16.51.212:2200
-APREROUTING-ieth1-ptcp--dport10205-jDNAT--to-destination172.16.51.205:22
-APREROUTING-ieth1-ptcp--dport10214-jDNAT--to-destination172.16.51.214:2200
-APREROUTING-ieth1-ptcp--dport10215-jDNAT--to-destination172.16.51.215:2200
-APREROUTING-ieth1-ptcp--dport10193-jDNAT--to-destination172.16.51.193:22
-APREROUTING-ieth1-ptcp--dport10194-jDNAT--to-destination172.16.51.194:22
-APREROUTING-ieth1-ptcp--dport10195-jDNAT--to-destination172.16.51.195:22
-APREROUTING-ieth1-ptcp--dport10196-jDNAT--to-destination172.16.51.196:22
-APREROUTING-ieth1-ptcp--dport10196-jDNAT--to-destination172.16.51.197:22
-APREROUTING-ieth1-ptcp--dport10198-jDNAT--to-destination172.16.51.198:2200
-APREROUTING-ieth1-ptcp--dport10199-jDNAT--to-destination172.16.51.199:22
-APREROUTING-ieth1-ptcp--dport10218-jDNAT--to-destination172.16.51.218:22
-APREROUTING-ieth1-ptcp--dport10219-jDNAT--to-destination172.16.51.219:22
-APREROUTING-ieth1-ptcp--dport10202-jDNAT--to-destination172.16.51.202:22
-APREROUTING-ieth1-ptcp--dport10203-jDNAT--to-destination172.16.51.203:22
COMMIT
*filter
:INPUTACCEPT[0:0]
:FORWARDACCEPT[0:0]
:OUTPUTACCEPT[0:0]
-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
-AINPUT-picmp-jACCEPT
-AINPUT-ilo-jACCEPT
-AINPUT-mstate--stateNEW-mtcp-ptcp--dport22-jACCEPT
-AINPUT-jREJECT--reject-withicmp-host-prohibited
-AFORWARD-mstate--stateESTABLISHED,RELATED-jACCEPT
-AFORWARD-picmp-jACCEPT
-AFORWARD-ilo-jACCEPT
-AFORWARD-ieth1-mstate--stateNEW-mtcp-ptcp-d172.16.51.0/24--dport22-jACCEPT
-AFORWARD-ieth1-mstate--stateNEW-mtcp-ptcp-d172.16.51.0/24--dport2200-jACCEPT
-AFORWARD-jREJECT--reject-withicmp-host-prohibited
COMMIT
服务器A和B都配了route，关闭了防火墙，具体如下:
服务器A：

服务器B：

分 -->

千问 · 2021-1-27 06:15:28

用firewalld做端口转发吧，配置比iptables简单很多

千问 · 2021-1-27 06:15:28

请检查规则配置。

千问 · 2021-1-27 06:15:28

做一个简单的实验，将B换成一个windows电脑，设置配置跟B一样
如果能访问，说明是linux哪里配置有问题
将B换回linux，在A和B装抓包软件wireshark，同时抓包并比较分析。

千问 · 2021-1-27 06:15:28

引用2楼Wenxy1的回复:请检查规则配置。
规则查了没发现异常。。。。

千问 · 2021-1-27 06:15:28

引用1楼cqyy725的回复:用firewalld做端口转发吧，配置比iptables简单很多
原理一样的，firewall做的就是通过iptables实现的

千问 · 2021-1-27 06:15:28

引用3楼braveyly的回复:做一个简单的实验，将B换成一个windows电脑，设置配置跟B一样
如果能访问，说明是linux哪里配置有问题
将B换回linux，在A和B装抓包软件wireshark，同时抓包并比较分析。
只能这样了，抓包看看情况了