请超超白金进来一下 帮我指导一下我的iptable的配置问题

现在我有这样一个简单的问题 但因为原先没有接触过iptable 所以学了一段时间 仍然没有正确的认识 请指点一下
说：企业网络采用了局域网地址192.168.1.0/24这个网络段。与外部网络连接采用共有IP地址有222.18.134.6~222.18.134.10范围的5个internet地址。为了实现公司内部网络中地址为192.168.1.8的web服务能够供内部和外部访问，但是外部不能访问内部网络的其他主机  。为了节约成本，内部网络与外部网络间采用RH9.0作为nat路由器和防火墙系统。

假设
eth0连接外网  eth1连接内网
我写下这样的规则来让内网可以访问外网

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT –to 222.18.134.6-222.18.134.10
而写下 iptables -t nat -A PREROUTING -i eth0 -j DROP禁止外网访问内网

对于内部的web服务器  
我写下
iptables -t nat -A PREROUTING -p tcp --dport 80 –i eth0 -j DNAT --to 192.168.1.8:80
iptables -t nat -A POSTROUTING -s 192.168.1.8 -p tcp --dport 80 -o eth0 -j SNAT --to 222.18.134.6-222.18.134.10  

对于这几行代码 请您提出建议 帮忙改正

另外如果使得服务器端口有效的化是不是还要加入
iptables -A FORWARD -o eth1 -d 192.168.1.8 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -s 192.168.1.8 -p tcp --sport 80 -m --state ESTABLISHED - j ACCEPT

[ 本帖最后由 顽皮炸弹 于 2006-6-14 14:37 编辑 ]

白金很久不发贴了~

最多也就是隐着来晃下

我看了几行代码不是很清楚  

环境：局域网192.168.0.0/24，有web服务器  192.168.1.10；

      网关为linux，内网eth0，IP为192.168.1.1，外网eth1，IP为a.b.c.d；


问题：怎样作NAT能使内外网都能访问其服务器？


方法：用DNAT作端口映射
           iptables -t nat -A PREROUTING -d a.b.c.d -p tcp --dport 80 -j DNAT --to 192.168.1.10
           用SNAT作源地址转换（关键），以使回应包能正确返回
           iptables -t nat -A POSTROUTING -d 192.168.1.10 -p tcp --dport 80 -j SNAT --to 192.168.1.1

第一条 使得外网能通过a.b.c.d访问服务器 却为什么不加上一条这样的规则来让外网能收到服务器的回应那  iptables -t nat -A POSTROUTING -s 192.168.1.10 -p tcp --dport 80 -j SNAT --to a.b.c.d

第二条有点搞不通  在这里应该完成的让内网的机器也能访问服务器 但我们不是讲的snat是在发送之后才做吗 用的参数应该是 -o ethx  而这里应默认的应该是指 -i eth0   为什么可以这样

要映射端口是吧，偶用这命令搞了半天也没搞懂，最后下载了一个工具搞定

用kingate-1.6-pre2

kingate-1.6-pre2是一个代理工具，有映射端口这一功能

编译安装之后，打开配置文件，把所有的代理全部设置为off

然后在最底部

1. #端口重定向功能，所有port端口的请求发送至host:port
   
2. #redirect                9999_211.141.90.201:23
   
3. #redirect                3333_127.0.0.1:23

复制代码

把最后一行的#去掉，把3333和23改为想映射的端口，相同就行，如果是Ｗｅｂ服务器，全设成80，127.0.0.1改为要映射的电脑，如把80映射到192.168.0.5这台电脑上，就是
redirect                80_192.168.0.5:80

明白了吗？这个比那个ipt什么什么好用多了