1

Я использую 3 виртуальные машины с Fedora 19. Машина B настроена с двумя сетевыми адаптерами и обеспечивает канал связи между машиной A и машиной C.

IP-адрес компьютера установлен на 192.168.1.3 а IP-адрес компьютера установлен на 172.16.1.1 . На компьютере BI есть один адаптер с IP 192.168.1.254 и другой адаптер с IP 172.16.1.254 .

Я должен создать правило на машине B в таблице NAT, которое разрешает SSH-соединение с машиной A, но с использованием внешнего IP-адреса машины B.

Я создал это правило (не знаю, правильно это или нет):

iptables -t nat -A PREROUTING -i p8p1 -s 172.16.1.1 -d 172.16.1.254 -p tcp --dport 22 -j DNAT - к месту назначения 192.168.1.3

Если я только это сделаю, если я использую netcat я не могу подключиться к машине А. Теперь, если я вставлю это правило:

iptables -A FORWARD -i p8p1 -o p7p1 -s 172.16.1.1 -d 192.168.1.3 -p tcp --dport 22 -j ПРИНЯТЬ

Я могу сделать связь.

У меня вопрос такой:

Вставка второго правила не делает первое правило ненужным?

|источник

1 ответ1

2

Первое правило сообщает ядру пакеты nat, поступающие с 172.16.1.1 для 172.16.1.254 через порт 22 на 192.168.1.3.

Второе правило говорит ему разрешить пакеты, поступающие с 172.16.1.1, идущие на 192.168.1.3 через порт 22. Это правило применяется после того, как первый определил пакет, поэтому оба необходимы, если ваша политика по умолчанию отклоняет перенаправленные пакеты.

ASCII художественная схема, описывающая процесс:

                      Packet (src -> dst)

          +-----------------------+--------------------+
machine C |            172.16.1.1 -> 172.16.1.254      |
          +-----------------------+--------------------+
                                  |
                                  v
          +---------------------p8p1-------------------+
          |                       |                    |
          |PREROUTING: 172.16.1.1 -> 192.168.1.3 (DNAT)|
machine B |                       |                    |
          |FORWARD:            ACCEPT                  |
          |                       |                    |
          +---------------------p7p1-------------------+
                                  v
                                  |
          +-----------------------+--------------------+
machine A |           172.16.1.1 -> 192.168.1.3        |
          +--------------------------------------------+
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .