内网ＰＣ做Lock On服务器方案

铀235

2004.5.18晚实验成功内网PC做Lockon主机，环境如下：
PPPoe拨号后公网IP：218.61.11.190
------------------------------------------------------------------
ADSL_Modem====>eth1_[iptables]_eth0=========>PC
     ppp0----->eth1->eth0(192.168.1.254)---->192.168.1.5
------------------------------------------------------------------
------iptables关键规则如下：-----------------------------------------------------------------------
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp0 -j MASQUERADE
iptables -t nat -A PREROUTING  -p tcp -d 218.61.11.190 --dport 10308 -j DNAT --to 192.168.1.5:10308
iptables -t nat -A PREROUTING  -p udp -d 218.61.11.190 --dport 10308 -j DNAT --to 192.168.1.5:10308
iptables -A FORWARD -p tcp -d 192.168.1.5 --dport 10308 -o eth0 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.1.5 --dport 10308 -o eth0 -j ACCEPT
---------------------------------------------------------------------------------------------------
------ipchains关键规则如下：-----------------------------------------------------------------------
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/24 -d 0/0 -j MASQ
ipmasqadm portfw -a -P tcp -L 218.61.11.190 10308 -R 192.168.1.5 10308
ipmasqadm portfw -a -P udp -L 218.61.11.190 10308 -R 192.168.1.5 10308
---------------------------------------------------------------------------------------------------
公网多人联机成功

[此贴子已经被作者于2004-5-19 23:20:01编辑过]

jeanfox

顶！161真高人也！

黄鼻子

昏，看不懂

dao777

我这里已经有了
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 202.96.137.90
是否就不必使用MASQUERADE????

网吧那里的结构
internet  ==> eth0 [iptables] eth1 ==> intranet(192.168.0.0/24)
eth0: 202.96.137.90
eth1: 192.168.0.3
lomac server: 192.168.0.204

现有的nat规则：
====================================================

WEB=192.168.0.12
CS=192.168.0.11

echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat --flush


######## shangwang ##############
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j SNAT --to-source 202.96.137.90

######### web ###########
iptables -t nat -A PREROUTING -d 202.96.137.90 -p tcp --dport 80 -j DNAT --to 192.168.0.12
iptables -t nat -A POSTROUTING -d 192.168.0.12 -p tcp --dport 80 -j SNAT --to 192.168.0.3
iptables -A FORWARD -o eth0 -d 192.168.0.12 -p tcp --dport 80 -j ACCEPT


######### cs ############
iptables -t nat -A PREROUTING -d 202.96.137.90 -p udp --dport 27015 -j DNAT --to 192.168.0.11
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 27015 -j SNAT --to 192.168.0.3
iptables -A FORWARD -o eth0 -d 192.168.0.11 -p udp --dport 27015 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp -j SNAT --to 192.168.0.3

iptables -t nat -A PREROUTING -d 202.96.137.90 -p udp --dport 27016 -j DNAT --to 192.168.0.11
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 27016 -j SNAT --to 192.168.0.3
iptables -A FORWARD -o eth0 -d 192.168.0.11 -p udp --dport 27016 -j ACCEPT

iptables -t nat -A PREROUTING -d 202.96.137.90 -p udp --dport 27017 -j DNAT --to 192.168.0.11
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 27017 -j SNAT --to 192.168.0.3
iptables -A FORWARD -o eth0 -d 192.168.0.11 -p udp --dport 27017 -j ACCEPT

iptables -t nat -A PREROUTING -d 202.96.137.90 -p udp --dport 27018 -j DNAT --to 192.168.0.11
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 27018 -j SNAT --to 192.168.0.3
iptables -A FORWARD -o eth0 -d 192.168.0.11 -p udp --dport 27018 -j ACCEPT


cd /lib/modules/2.4.20-8/kernel/net/ipv4/netfilter
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -t nat -A PREROUTING -d 202.96.137.90 -p tcp --dport 21 -j DNAT --to 192.168.0.12
iptables -t nat -A PREROUTING -d 202.96.137.90 -p tcp --dport 2121 -j DNAT --to 192.168.0.13:21

########### cs HLTV ############
iptables -t nat -A PREROUTING -d 202.96.137.90 -p udp --dport 27020 -j DNAT --to 192.168.0.11
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp --dport 27020 -j SNAT --to 192.168.0.3
iptables -A FORWARD -o eth0 -d 192.168.0.11 -p udp --dport 27015 -j ACCEPT
iptables -t nat -A POSTROUTING -d 192.168.0.11 -p udp -j SNAT --to 192.168.0.3
======================================================


我是否增加这四个规则就可以了？
iptables -t nat -A PREROUTING  -p tcp -d 202.96.137.90 --dport 10308 -j DNAT --to 192.168.0.204:10308
iptables -t nat -A PREROUTING  -p udp -d 202.96.137.90 --dport 10308 -j DNAT --to 192.168.0.204:10308
iptables -A FORWARD -p tcp -d 192.168.0.204 --dport 10308 -o eth1 -j ACCEPT
iptables -A FORWARD -p udp -d 192.168.0.204 --dport 10308 -o eth1 -j ACCEPT

铀235

１、SNAT已有应该可以不用MASQUERADE。但是，我怀疑只能进入1个人的问题就是这个
    SNAT造成的。
２、这4条可以保证LockOn做主机正常。如还有问题，就应该是其他的什么规则在捣乱了。

dao777

问题是我不能停掉这个SNAT...一停就都断了
这样吧，要不我加上一条专门对于192.168.0.204的MASQUERADE看看

铀235

以下是引用dao777在2004-5-19 13:49:47的发言：
问题是我不能停掉这个SNAT...一停就都断了
这样吧，要不我加上一条专门对于192.168.0.204的MASQUERADE看看

呵呵，如再有问题，只能用这个办法实验看看了。还得先从SNAT中排除.0.204。
感觉上面4楼的脚本看着有点怪怪的，：-)

[此贴子已经被作者于2004-5-19 14:00:07编辑过]

dao777

先从SNAT中排除.0.204
这个怎么写比较好？

铀235

以下是引用dao777在2004-5-19 14:11:05的发言：
先从SNAT中排除.0.204
这个怎么写比较好？

哦，在SNAT规则里把.0.204这个地址取"非"就应该成，关键是不能断网比较费事，

dao777

是啊，不能断网是最头疼的
可能要用 -I 来insert到最前面一个rulenum

铀235

21号凌晨未敢拆除第一个ALL SNAT，故障依旧，但是，在同一机器上又做了个TS的服务器，
经连接测试正常，说明规则是没问题的，问题在于Lockon在握手过程中有问题。
如果去掉SNAT，就用伪装，应该是可以的，因为我这是正常的。

gao7509

根本就看不懂,水平有限啊,我想学这个啊