大概就是这么个意思,做完端口映射之后,内网用户无法通过公网IP访问映射的服务,如WEB、FTP等。
假设有内网地址是192.168.1.0/24网段,公网IP为15.61.84.63,做srcnat使内网用户可以访问互联网。此时添加一个DST-NAT端口映射8012端口到内网机器192.168.1.251:80,内网用户要使用15.61.84.63:8012访问的话,则需添加相应规则。
一、添加mangle rule
ip firewall manle
add chain=pretouting action=mark-routing routing-mark=internal passthrough=yes src-address=192.168.1.0/24 dst-address-type=local disabled=no
二、添加SRC NAT RULE
ip firewall nat
add chain=srcnat action=massquerade routing-mark=internal disable=no
:dst-address-type=local 目标地址在ROS接口上
若不指定dst-address-type,则所有目的地址8012端口将重定向至映射的内网主机相应端口。如上例,访问www.pconline.com.cn:8012,将重定向至15.61.84.63:8012。
很实用的技术,可惜我不懂这些,先收藏了,以后也许用得着
回复删除local 就寫成192.168.1.251
回复删除internal就寫成15.61.84.63
我這麼理解對不?