您将如何设置 iptables 以将某些端口(例如 tcp 端口 80)的数据包发送到正确的机器(并非都在同一子网中)?
例如:
iptables -t nat -A PREROUTING -s 0.0.0.0//0 -p tcp -d $NATIP -j DNAT --to-destination $machineIP
iptables -t nat -A POSTROUTING -s $machineIP -p tcp -d 0.0.0.0//0 -j SNAT --to-source $NATIP
以上将正确地向一台机器发送数据包或从一台机器发送数据包,但是你将如何为 n 台机器执行此操作。因为我不相信像 192.168.1.0/25 这样的通用目的地会起作用。
您是否以某种方式标记数据包,以便当它们返回时您可以将它们发送到正确的 IP?
这是用其他命令完成的吗?
首先考虑一些因素。如果您
0.0.0.0/0有源或目标,则不必在规则中指定它。现在考虑您的问题,如果每台机器都有一个
NATIP规则,那么这只是为每台机器制定一对规则的问题。如果你想对NATIP多台机器使用相同的东西,你需要一些东西来区分,如果不是端口,那么源 IP。否则 iptables 本身无法选择将包发送到哪里。(会回到这件事)要制作输出 NAT,您可以为每台机器制定一个规则,或者创建一个表并在其中设置您希望转换的所有 IP 和子网。
使用一个 IP 地址的多机 NAT 的一种替代方法是使用 apache 设置代理。