IPTables 伪装停止工作

tag-icon tag-icon linux firewall routing iptables
IPTables 伪装停止工作

在传统的 SOHO 设置中,我运行 Debian 盒子作为路由器/防火墙。不知何时,我遇到了一个问题,输出连接 (PPPoE) 上的 MASQUERADING 对其中一个客户端停止工作。这表现为将私有 IP 地址发送到互联网链接上。更令人困惑的问题是,这只发生在其中一个客户端上(而其他客户端同时工作)。

这些问题似乎是由传输量引起的,并在一段时间后自行解决。

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -i br0 -j ACCEPT 
-A INPUT -i eth0 -j ACCEPT 
-A INPUT -p tcp -m state --state NEW --dport 22 -i ppp0 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p tcp -m state --state NEW --dport 22 -i ppp0 -d 192.168.178.3 -j ACCEPT
-A FORWARD -p tcp -m state --state NEW --dport 80 -i ppp0 -d 192.168.178.3 -j ACCEPT
-A FORWARD -p tcp -m state --state NEW --dport 8000 -i ppp0 -d 192.168.178.3 -j ACCEPT
-A FORWARD -p udp -m state --state NEW --dport 5060 -i ppp0 -j ACCEPT
-A FORWARD -p udp -m state --state NEW --dport 17070:17078 -i ppp0 -j ACCEPT
-A FORWARD -i br0 -j ACCEPT 
-A FORWARD -i eth0 -j ACCEPT 
-A FORWARD -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -o br0 -j ACCEPT 
-A OUTPUT -o eth0 -j ACCEPT 
-A OUTPUT -o ppp0 -j ACCEPT 

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.32 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.178.4
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.32 -p udp -m udp --dport 17070:17078 -j DNAT --to-destination 192.168.178.4
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.33 -p udp -m udp --dport 5060 -j DNAT --to-destination 192.168.178.5
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.33 -p udp -m udp --dport 17070:17078 -j DNAT --to-destination 192.168.178.5
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.34 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.178.3
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.34 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.178.3
-A PREROUTING  -i ppp0 -d XXX.XXX.XXX.34 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 192.168.178.3
-A POSTROUTING -o ppp0 -s 192.168.178.4 -j SNAT --to XXX.XXX.XXX.32
-A POSTROUTING -o ppp0 -s 192.168.178.5 -j SNAT --to XXX.XXX.XXX.33
-A POSTROUTING -o ppp0 -s 192.168.178.3 -j SNAT --to XXX.XXX.XXX.34
-A POSTROUTING -o ppp0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE

相关内容