IT技术随笔

网络拓朴如下：

拓朴说明：SuSe Linux B服务器能访问SSG-550的80端口（WebUI默认服务端口），SuSe Linux A可路由到SuSe Linux B，SuSe Linux A/SuSe Linux B均未安装Web浏览器，现想通过与SuSe Linux A主机同一网段的PC-A（操作系统：winxp）来远程WebUI管理SSG-550，PC-A不能路由到SuSe Linux B。

配置过程：

在SuSe Linux A服务器上配置Iptables（把以下命令行放置到一个脚本文件中，如/iptables.sh，加上可执行权限，最后sh /iptables.sh让脚本生效）：

#!/bin/bash
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -d 192.168.1.2/32 -j SNAT --to-source 192.168.1.1
iptables -t nat -A POSTROUTING -d 172.243.60.27/32 -j SNAT --to-source 10.200.5.216
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 172.243.60.27:8080

在SuSe Linux B服务器上配置Iptables（把以下命令行放置到一个脚本文件中，如/iptables.sh，加上可执行权限，最后sh /iptables.sh让脚本生效）：：

#!/bin/bash
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
echo "1" >/proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j SNAT --to-source 172.243.60.27
iptables -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to 172.243.60.4:80

脚本生效后，可在PC-A IE浏览器上输入：http://192.168.1.1:8080 回车即可出现SSG-550 WebUI登陆界面。

NetScreen设备http服务监听端口缺省为端口80，它是http信息流的标准端口号，可通过更改为其它端口号提高http管理信息流的安全性。方法如下：

netscreen-> set admin port 16633

netscreen-> save

PDF文档下载：http://rapidshare.com/files/93606549/Iptables_remote_WebUI_manage_Juniper_SSG-550.pdf