我有以下配置:
ServerA:192.168.168.200
ServerB:172.23.10.10
它们被我正在尝试配置为NAT设备的RedHat盒分开。
该框配置如下:
eth0:172.23.10.1
eth1:192.168.168.254
eth1:0:192.168.168.10
我试图允许ServerA仅使用192.168.168.10地址与ServerB通信,该地址应通过NAT映射到172.23.10.10地址。
ServerA (192.168.168.x) <-NAT ServerB (172.23.10.x)
我只在RedHat框中配置了以下iptables规则:
iptables -t nat -A PREROUTING -d 192.168.168.10 -j DNAT --to-destination 172.23.10.10
这似乎可以成功实现NAT转换。例如,当我从ServerA ping 192.168.168.10时,它成功地通过它的172.23.10.10接口到达ServerB(并接收响应)。
问题是ServerA仍然能够直接通过172.23.10.10到达ServerB,我想不允许这样做。
如何在阻止访问实际目标地址的同时保留此NAT映射?
答案 0 :(得分:0)
你没有粘贴你的完整iptables输出(iptables -vL -n nat),所以这是一个猜测,但我打赌,因为它是RHEL,你的PREROUTING表有默认的“ACCEPT”策略,所以流量正在跳过NAT线路,达到策略并被接受。
尝试:
iptables -n nat -P PREROUTING DROP