深港nat，转发美国问题咨询。

♠♣♥❤ · 发表于 2020-6-9 11:02:42

本帖最后由 ♠♣♥❤ 于 2020-6-9 11:03 编辑

我的逻辑是这样的。但是有点小问题
转发端口  37000 到37000
小伞云的：

内网端口转发已添加配置

10.1.1.1       37000       =>       sz-01.xn--xxxx0kf.com       37000       tcp       已创建
10.1.1.1       37000       =>       sz-01.xn--xxxx0kf.com       37000       udp       已创建

（此 sz-01.xn--xxxx0kf.com  ping的 ip 是深圳的）

ssh登录后： curl myip.ipip.net ip显示香港。

现在如果我需要做中转是不是在 ssh上面执行：（2.2.2.2 为美国ip    1.1.1.1 为香港的ip）

iptables -t nat -A PREROUTING -p tcp --dport 37000 -j DNAT --to-destination 2.2.2.2:37000
iptables -t nat -A PREROUTING -p udp --dport 37000 -j DNAT --to-destination 2.2.2.2:37000
iptables -t nat -A POSTROUTING -p tcp -d 2.2.2.2 --dport 37000 -j SNAT --to-source 1.1.1.1
iptables -t nat -A POSTROUTING -p udp -d 2.2.2.2 --dport 37000 -j SNAT --to-source 1.1.1.1

在执行这个命令后
echo -e "net.ipv4.ip_forward=1" >> /etc/sysctl.conf
sysctl -p
service iptables save
service iptables restart
转发不成功。重启后 ssh上来。配置都没了。

直接用美国的ss节点链接是ok的。（不直接链接是担心某天被封懒得再折腾）

请问我的问题出在哪？

loveqianool · 发表于 2020-6-9 11:07:45

1.1.1.1 应该填面板 ip。
面板那里有个内网 ip。

♠♣♥❤ · 发表于 2020-6-9 11:13:43

本帖最后由 ♠♣♥❤ 于 2020-6-9 16:32 编辑

loveqianool 发表于 2020-6-9 11:07

1.1.1.1 应该填面板 ip。
面板那里有个内网 ip。

这样的话不是直接从深圳到美国去了没有走深圳-》香港的隧道了？

刚调试，你是对的。 iptables里面需要写内网ip

宝丽金 · 发表于 2020-6-9 11:07:00

宝丽金发表于 2020-6-9 11:42

haproxy它不香么?
可以了。监听ip写内网ip就行。一点都不香。iptable tcp udp都支持。 haproxy只支持tcp把。

♠♣♥❤ · 发表于 2020-6-9 11:42:39

POSTROUTING链直接写网卡，你这样内网外网ip容易搞混的。

[ol]

iptables -t nat -A POSTROUTING -d 2.2.2.2/32 -o eth0 -p tcp --dport 37000 -j MASQUERADE[/ol]复制代码

register · 发表于 2020-6-9 11:52:53

register 发表于 2020-6-9 12:02

POSTROUTING链直接写网卡，你这样内网外网ip容易搞混的。[ol]

iptables -t nat -A PREROUTING -p tcp --dport 13389 -j DNAT --to-destination 123.123.123.123:3389

iptables -t nat -A PREROUTING -p udp --dport 13389 -j DNAT --to-destination 123.123.123.123:3389

iptables -t nat -A POSTROUTING -d 10.1.1.173/32 -o venet0 -p tcp --dport 13389 -j MASQUERADE

iptables -t nat -A POSTROUTING -d 10.1.1.173/32 -o venet0 -p udp --dport 13389 -j MASQUERADE[/ol]复制代码

同时转发 tcp udp 是这样写吗大佬?

loveqianool · 发表于 2020-6-9 11:42:00

本帖最后由 register 于 2020-6-9 15:59 编辑

loveqianool 发表于 2020-6-9 15:16

同时转发 tcp udp 是这样写吗大佬?

目的ip为123.123.123.123:10086，转发机器开的端口为10000，我的完整规则是如下

[ol]

*nat

:PREROUTING ACCEPT [0:0]

:INPUT ACCEPT [0:0]

:POSTROUTING ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A PREROUTING -p tcp -m conntrack --ctstate NEW -m tcp --dport 10000 -j DNAT --to-destination 123.123.123.123:10086

-A POSTROUTING -d 123.123.123.123 -o eth0 -p tcp -m conntrack --ctstate NEW -m tcp --dport 10086 -j MASQUERADE

COMMIT

*filter

:INPUT DROP [0:0]

:FORWARD DROP [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport 443 -j ACCEPT

-A INPUT -p tcp -m conntrack --ctstate NEW -m tcp --dport ssh端口 -j ACCEPT

-A INPUT -m conntrack --ctstate INVALID -j DROP

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

-A FORWARD -p tcp -m conntrack --ctstate NEW -m tcp -d 123.123.123.123 --dport 10086 -j ACCEPT

-A FORWARD -m conntrack --ctstate INVALID -j DROP

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT[/ol]复制代码

有udp需求的添加udp即可

register · 发表于 2020-6-9 12:02:06

其实吧，跟平常的转发完全一样。
这个iptales规则里，那2个IP就是目的地IP和本地的内网IP

		自动登录	找回密码
密码			立即注册