手動NATチェックポイント（すべてのhttpリクエストをローカルWebサーバーにリダイレクト）

NATの問題が発生した場合、私は常にいくつかのSSHセッションを開き、内部インターフェイスと外部インターフェイスの両方でtcpdumpを実行することから始めます。

何かのようなもの：

tcpdump -i eth0 proto ICMP

または

tcpdump -i eth0 Host A_GOOGLE_IP

そして、Nat'dIPアドレスが何であるかを確認してください。それは少なくともあなたにどこかから始めることを与えるはずです！

チェックポイントのリターントラフィックは、ナット化する必要があります。トラフィックはWebサーバーのサーバーログに表示されていますか？また、fw monitorを使用して、チェックポイントが正しくナッティングされていることを確認し、次のような方法でトラフィックを双方向に渡すことも価値があります。

fw monitor -e 'accept (src=<Host address> and dport=80) or (dst=<Host address> and sport=80);'

これにより、preおよびpost NATアドレスを含む、パケットごとに4行が表示されます。

内部サーバーがクライアントと同じサブネット内にある場合は、DNATだけでなくSNATも実行する必要があります。これは、次のように機能するためです。

iptables -t nat -A PREROUTING -i LAN_IFACE -d A_GOOGLE_IP -j DNAT --to-destination INT_WEB_SRV

• クライアントPCはTCP SYNをA_GOOGLE_IPに送信します
• ルーターはそれをINT_WEB_SRVにDNATします
• INT_WEB_SRVは、LAN IPからの要求を確認し、直接応答します
• クライアントは、A_GOOGLE_IPではなくINT_WEB_SRVIPから応答を受信します

SNATの場合、次のように機能します。

iptables -t nat -A PREROUTING -i LAN_IFACE -d A_GOOGLE_IP -j DNAT --to-destination INT_WEB_SRV
iptables -t nat -A POSTROUTING -s LAN_RANGE/mask -d INT_WEB_SRV -j SNAT --to-source ROUTER_IP

• クライアントPCはTCP SYNをA_GOOGLE_IPに送信します
• ルーターはそれをINT_WEB_SRVにDNATし、ソースIPを独自のIPに置き換えます
• INT_WEB_SRVは、ルーターからの要求を確認し、それに応答します。
• ルーターはパケットをクライアントPCにDNATし、送信元IPをA_GOOGLE_IPに置き換えます
• クライアントは、A_GOOGLE_IPに接続されていると考えています

ただし、すべてのユーザーにプロキシの使用を強制するだけの場合は、プロキシサーバーへのすべての発信HTTP接続をDNATするだけで（いわゆる透過プロキシを取得できます）、クライアントはコンピューターの設定を変更する必要はありません。 。