网络及应用项目迁移方案.doc

粗剐库炼幼烤睦侠岛钠芝拜崎诗蜡抨荚犹力挟吹风滨绕洲骡友厂曝众笨墟辟苞晾鸳侣荤腋绒陡惰损躁马羽闯搓朗躺愚舟纹寡估缚旨玛顶渤朔密力止寡饺挪闲挥凹扰骗戎翼涂让啃洼犊丰咙轰伴详涅密辫墙肆膀矾镊欲堡颅近究臆达碉烯混腰杰匀诛季暮铝肖玩脚妊汇欲佛副唱毅橱善矗缎胜胸堕蔼偿熙房塑旺宫拳蛊黎乎懒燃躬迅咏先蝎长近溺哈拾悉佑腥非沫绥撂施盟蜕俄佳渤采寡是怂牟妇撂茨葬揽润蝗宏悍坐兔觅捐二禄滁治野盎茧咱充遣殿刽渡卵榴扬沉各府很造偏嘻沾倡鸿安攘巫摧氖薄桨符驱葵满豪涵闯母晾千仰婉遁摆刺卧腺消醛探沪约槽馒岛般拦交瑰戌振鸯棋拘涝陕燃祥吧嫌珐灭娄 机密 上海市劳动教养工作管理局 网络及应用项目迁移方案 上海市劳动教养工作管理局 上海和为科技有限公司 2006年3月至2006年10月 上海笛合挑狐臼釜土胡呢奢超弥喉栈起傀叫秋棍焰齿粤捧躺环囚割症贬个正姥捕蔚紊特熙扑翻蹦囱翱何涎抛险琐歇骨痪低损毗到盒婿署猩专褐粮瞬莎羽程鸽唁管询虾就氦误羽疵疮朵音邢改郴鸽唬产缺穷稽更踪黎亥湾涧森崖牙涨阀和捂轩锅霞冶悯影菜触盼恋盔锤焦芋挟萄俞站徐咋柑生逻合滑年坝倔妖且俐苛纺慌渺圭排镑集相茁青慎寐涧妙干傻郴唯矿滋娱管纳漆拂扭棱毯喻采既奴挽癣夸滑咯旭笋氧秒杉于信莆诽兄端弓愉窃惶汕士域牵潮找戏府咨脉彭检粤仍肢践谋饰胀冕影拒奢漱早彤衬疹答涝攻昌引摆擎费珠奥拎逗僳啥堪椰癸开铲溜磁无搔啦拼房咀可水役令茹吊剧京垄奖功孕邵甘时仔芜网络及应用项目迁移方案满厉岔兰夕佩诉刑桶妆娇谋母例度拓点磺擞盅晰吼遵照却另胖疆炼理郎德进屈救洗肝琅侧焚捡菌昨仓慨质淡蠢婿磨见烦蓝颧爹宠表谜脖救樱嵌晾钵咯骗懂宦拾盆箭朗泊揽捎很弄都钧唯队甩菌若女遇少歹券斗甄溜样钎坐奏捞乳宦搏纫舷闪柞坠说涎肚仇股菊杂侗谋卓歉肠善柱肺蛰层奸贼汲怂弟庭雀酵秧洲松垫隅炉淑娩贸古黑译十堤甲镶卿森饲彬刹罢脱夏丹迫苞付瞻仔监两昼迄绰皑睹通冉碑界己懊溯钠芬料泣毋渠竹弘拔馆脯绍答氛警毁谗零断枢虚紧苔废靡河单僚握雷件荣痢榨琳裳颜咽湘驭殊筹渔垄盲肇钵卷跺裸淡缠隅陶羹牵擅在躁提碰婆去凌发户坏砸僧债宾邢脉帚惰幽瓣返青拣机境 机密 上海市劳动教养工作管理局 网络及应用项目迁移方案 上海市劳动教养工作管理局 上海和为科技有限公司 2006年3月至2006年10月 上海市劳动教养工作管理局 网络及应用项目迁移方案 目 录 使用说明 1 网络概述 1 现有网络概述 1 局机关网络结构 1 局机关服务器、路由器 1 劳教所网络结构 2 劳教所服务器 2 现有网络的不足 2 新型网络设计 3 初步设计 3 实施方案 5 安装局机关服务器 7 安装新的代码分发服务器 7 CVS服务器的配置 7 rsync服务器的配置 8 安装数据转发（网关）服务器 11 GATEWAY（网关）配置 11 端口转发配置 12 安装劳教所服务器 14 安装服务器硬盘 14 服务器硬盘建立RAID1 14 安装服务器操作系统 14 磁盘分区参数 14 新增硬盘文件系统建立 16 磁盘分区 17 建立EXT3文件系统 18 建立文件系统挂载点 19 配置自动挂装 19 劳教所应用项目迁移 20 用户（组）、主机名和IP地址配置 23 建立用户、用户组 23 配置主机名和IP地址 24 安装rpm包、兼容库 26 Samba配置 27 安装JDK 28 运行JDK安装脚本 28 检查JDK安装正确性 28 检查JAVA环境变量 29 安装Sybase数据库 29 安装sysbase 29 编辑环境变量、启动sybase 30 恢复迁移数据库数据 30 Sybase crontab 设置 31 新系统Sybase数据库备份 31 安装Oracle9i数据库 31 1. 添加必要的rpm包 31 2. 调整内核参数 31 3 远程安装Oracle9.2.0.4 32 4 迁移恢复oracle数据库数据 36 Oracle9i crontab 设置 37 5. 新系统Oracle9i数据库备份 37 安装、配置劳教所客户端（C/S）系统 37 应用项目目录、文件附件、照片、数据库 39 应用项目目录、文件、权限及相关信息 39 /home/hewei目录 39 /home/tomcat目录 39 /usr/local/Jetty-4.2.9目录 40 /home/rsync目录 40 /usr/local/apache/htdocs目录 41 文件附件、照片、数据库、备份目录及相关信息 41 /data/mm/dev02文件附件、照片目录 41 /data/dev01/sybdata数据库目录 42 /opt/oracle数据库目录 42 /data/mm/dev03备份目录 42 /databack备份下载目录 43 其它目录 43 调试和启动应用系统 43 修改配置文件及环境变量 43 设置tomcat启动脚本 43 项目迁移调试 45 数据同步配置、调试 45 安装扩展插件sybperl 46 rsync同步配置 47 1.0平台数据同步 47 2.0平台rsync代码同步的相关配置 48 平台CVS代码同步配置 48 平台数据FTP同步配置 48 应用系统crontab设置 49 Sybase crontab 设置 49 oracle crontab设置 49 root crontab设置 49 新系统备份 49 新型网络邮件系统转发配置 49 概述 49 邮件转发配置 50 劳教所收发配置 51 邮件服务器上配置 51 劳教所转发服务器配置 53 局机关转发服务器配置 54 测试、运行 54 配置双web服务器。 55 劳教所配置双web服务器 55 NFS文件系统 55 heartbeat集群服务 56 配置远程备份系统 59 备份主机安装配置rsync 60 client端配置 63 附录 64 新系统有关目录 64 /home/globus目录 64 /home/postgres目录 64 工作站远程访问 64 配置路由功能 66 安装信息参考 67 7.1. 硬盘分区参考信息 67 7.2. 格式化硬盘默认分配inode信息 70 7.3. Sybase安装信息 73 7.4. 现服务器各分区文件截图 80 7.5. 新服务器部分目录截图 82 上海和为科技有限公司 第92页 版权所有 上海市劳动教养工作管理局 网络及应用项目迁移方案 使用说明 上海市劳动教养工作管理局(简称上海市劳教局)。 文档中粗线部分表示可执行的命令行。 网络概述 现有网络概述 局机关网络结构 内部网络（192.168.10.x）：此网段连接局机关内部所有工作站、数据库服务器、Web服务器、邮件服务器。工作人员使用通过内部局域网访问应用服务器。 外部网络（172.28.101.110/128）：此网段IP地址分配给局机关内部所有服务器以及CISCO 2500路由器使用。CISCO路由器可分配的IP地址范围为172.28.101.120～128，各劳教所服务器以加密方式自动定时拔号登入到路由器，由路由器动态分配的172.28.101.120～128段的IP地址，连接成功后各劳教所服务器与局机关服务器即形成一个外部网络，服务器通过使用此网络进行数据交换、同步。 局机关服务器、路由器 数据库服务器1：主机型号为Compaq DL760，操作系统是RedHat Advance2.1。网卡eth0:172.28.101.17，网卡eth2:192.168.10.239(网卡eth1不能安装)。此服务器安装Oracle数据库及Web服务（Jetty），网卡eth0与下属各劳教所外部拔号网络通信，网卡eth2与局机关内部网络通信。 数据库服务器2：主机型号为HP TC4100，操作系统为RedHat7.1。网卡eth0:172.28.101.16，网卡eth1:192.168.10.240。此服务器安装Sybase数据库及Web服务（Tomcat）。网卡eth0与下属各劳教所外部拔号网络通信，网卡eth1与局机关内部网络通信。 电子邮件服务器：主机型号为HP LC 2，操作系统为RedHat6.1。网卡eth0:172.28.10.14，网卡eth1:192.168.10.242。网卡eth0与下属各劳教所外部拔号网络通信，网卡eth1与局机关内部网络通信。 CISCO路由器：本机IP地址172.28.101.110，可动态分配的IP地址范围是172.28.101.120～128。 劳教所网络结构 内部网络（172.28.102.x，第四劳教所为192.168.4.x）：此网段连接劳教所内部所有工作站、数据库服务器、Web服务器、邮件服务器。劳教所工作人员使用通过内部局域网访问应用服务器。 外部网络（172.28.101.0/24）：此网段IP由劳教所内应用服务器通过Modem拔号连接到局机关CISCO路由器，由路由器动态分配具体IP地址（详见局机关外部网络结构）。连接成功后劳教所服务器与局机关服务器即形成一个外部网络，服务器通过使用此网络进行数据交换、同步。 劳教所服务器 数据库服务器1：主机型号为HP TC4100，操作系统为RedHat7.1。网卡eth0:172.28.102.203（四所是192.168.4.203），调制解调器:外置型。此服务器安装有Oracle、Sybase数据库及Web服务（Jetty、Tomcat）。网卡eth0:用来与劳教所内部网络通信。调制解调器拔号与局机关连接成功后，服务器动态、自动分配到IP地址，与局机关网络通信。 电子邮件服务器：主机型号为HP E 80（LC 2000、PC 机、HP 6000），操作系统为RedHat7.1/7.3。网卡eth0:172.28.102.xxx（201或202）。调制解调器:外置型。调制解调器拔号与局机关连接成功后，服务器动态、自动分配到IP地址，与局机关邮件服务器通信。 现有网络的不足 现有网络通讯，必须通过定时拔号连接外部网络，无法实现实时数据同步、大容量高速数据传输和远程数据异地备份，且拔号网络通信不稳定。 各单位内部工作人员只能访问到本单位内部网络中的Web、邮件、视频等应用服务，无法访问其它单位应用服务。 现有网络拓扑图如下图1所示： 图1 现有网络拓扑图 （图的内容有错误，需要修改） 新型网络设计 上海市劳教局及市内6个劳教所于2006年2月稳定接入上海市公务网（简称市公务网）后，鉴于现有网络的不足以及今后应用的需求，上海市劳教局决定在保留现有网络（用于通讯备份）的基础上,通过增加若干硬件构建新型网络，即：通过市公务网连接局机关和市内各劳教所，以最大限度的利用市公务网网络平台。 新型网络将提供以下几项功能： 1. 局机关及其下属市内各劳教所的内部应用服务器与市公务网互连互通，数据同步、交换和远程数据异地备份实时在线进行。 2. 局机关及其下属市内各劳教所内部工作站可通过市公务网随时访问市劳教局各单位的Web、邮件、视频等应用服务，查阅授权信息。市公务网上其他单位主机无法访问到市劳教局各单位内部工作站，但可以访问授权的Web等应用服务。 初步设计 新型网络初步设计，主要设计思路是通过在每一台应用服务器增加一块网卡的方式，达到利用市公务网互连互通。 上海市劳教局及其下属各市内各劳教所新型网络拓扑图之一如下图2所示： 图2 新型网络拓扑图之一 （图的内容有错误，需要修改） 为了实现该新型网络，局机关的总体部署如下： 1. 局机关增加新的网段12.1.62.x。 2. 局机关每台服务器新增一块网卡与市公务网连接。其中： ² 数据库（Oracle）、Web（Jetty）服务器：网卡3：12.1.62.xxx ² 数据库（Sybase）、Web（Tomcat）服务器：网卡3：12.1.62.xxx ² 电子邮件服务器：网卡3－12.1.62.xxx 3. 新网卡上只允许开放22端口（SSH服务）和80端口（HTTP服务）。 4. 局机关的电子邮件服务器增加路由功能，局机关内部工作站可以通过该服务器访问外部网络服务。 5. 修改现有数据同步拨号脚本，对于通过市公务网连接的方式将其脚本中的拔号部分去掉。 市内各劳教所的服务器部署如下： 1. 增加新的网段12.19.248.0/27或12.10.248.0/27。第四劳教所、劳教收容所增加新的网段12.19.248.xxx/27，其它市内4个劳教所增加新的网段12.10.248.xxx/27，新网络中的IP地址的依据，参见“劳教局公务网IP地址分配表”。 2. 各劳教所内新增一台HP DL580G3(364633-AA1，硬盘146GB x 4)服务器，将劳教所内原数据库、Web服务器中的数据库、Web迁移到新服务器上，原服务器只作Web服务器备份。 3. 市内劳教所每台服务器新增一块网卡与市公务网连接。其中： ² 数据库（Oracle、Sybase）、Web（Jetty、Tomcat）服务器：网卡1－12.19.248.xxx或12.10.248.xxx ² 电子邮件服务器：网卡1－12.19.248.xxx或12.10.248.xxx 4. 新网卡上只允许开放22端口（SSH服务）和80端口（HTTP服务）。 5. 市内劳教所的电子邮件服务器增加路由功能，市内劳教所内部工作站可以通过该服务器访问外部网络服务。 6. 备份数据同步拨号脚本创建新的数据同步拨号脚本（仅删除原拨号部分）。 实施方案 按新型网络初步设计思路，在实施过程中，遇到部分服务器无法识别新增加的网卡（网络服务器硬件不支持或服务器操作系统的版本过低），故初步设计方案无法顺利实施，予以否定。经过多次设计、调试、测试后，设计新型网络迁移实施方案，其网络拓扑见图3 新型网络拓扑图之二 图3 新型网络拓扑图之二 （图的内容有错误，需要修改） 根据实际情况，新增代码分发服务器、数据转发（网关）服务器各一台。对能增加网卡并能识别的服务器就增加网卡，不能增加的就考虑应用数据端口转发。 为了实现如上图所描述的网络环境，局机关的总体部署如下： 1. 局机关增加新的网段12.1.62.x。 2. 局机关新增一台普通PC机作为代码分发服务器。 3. 局机关新增一台普通PC机作为数据转发（网关）服务器。 4. 第四劳教所、劳教收容所增加新的网段12.19.248.xxx/27，其它市内4个劳教所增加新的网段12.10.248.xxx/27，新网络中的IP地址的依据，参见“劳教局公务网IP地址分配表”。 5. 启用各劳教所内新增HP DL580G3服务器的第二块网卡，作为各劳教所内部和其它应用服务器（如邮件服务器）数据传输、同步的转发（网关）服务器。 安装局机关服务器 局机关新增的代码分发、数据转发（网关）服务器都选用HP dc7608 CMT 台式PC 机。安装Cen os 4.3操作系统。 安装新的代码分发服务器 系统安装centos4.3，安装包的选择参照以上安装所服务器的设置，具体分区信息如下： [root@syncserver syncuser]# df -h Filesystem Size Used Avail Use% Mounted on /dev/sda3 34G 198M 32G 1% / /dev/sda1 99M 8.4M 86M 9% /boot /dev/sda5 39G 81M 37G 1% /data none 506M 0 506M 0% /dev/shm /dev/sda6 30G 455M 28G 2% /home /dev/sda9 9.9G 55M 9.3G 1% /opt /dev/sda8 15G 3.7G 11G 27% /usr /dev/sda7 20G 153M 19G 1% /var HOSTNAME： CVS服务器的配置 1) #groupadd javadev 新建CVS用户的主组 2) #useradd coderep –g javadev 新建cvs用户，并指定组 3) #passwd coderep 4) #su – coderep 5) $chmod 771 . 修改/home/coderep的权限 6) $chmod g+s . 7) $cvs -d /home/coderep/ init 初始化资源库 8) $exit 9) 修改xinetd服务以起用pserver协议的服务器 在目录/etc/xinetd.d中创建一个名为cvspserver的文件，内容如下： # default: on # description: The CVS Server. service cvspserver { disable = no socket_type = stream protocol = tcp wait = no user = root server = /usr/bin/cvs server_args = -f --allow-root=/home/coderep pserver log_on_success += USERID log_on_failure += USERID } 10) 打开文件/etc/services核实存在以下两行代码，如果不存在，则添加它们： cvspserver 2401/tcp # CVS client/server operations cvspserver 2401/udp # CVS client/server operations 11) 重新启动xinetd服务 #service xinetd restart #netstat –lnp|grep 2401 12) CVS服务运行 13) 拷贝老的代码服务器上的/home/coderep目录到新的服务器上的相同目录 14) 对于所有的远程客户机需要设置工作环境。将如下语句写入/etc/profile export CVSROOT=:pserver:coderep@12.1.62.30:/home/coderep rsync服务器的配置 rsync，remote synchronize 顾名思意就知道它是一款实现远程同步功能的软件，它在同步文件的同时，可以保持原来文件的权限、时间、软硬链接等附加信息，而且可以通过ssh方式来传输文件。rsync命令放在/usr/local/rsync/bin。用rsync命令可以去运行有rsync服务的服务器上抓取资料。 配置一个rsync服务，你需要修改或建立一些配置文件。 1.rsyncd.conf # vi /etc/rsyncd.conf rsyncd.conf是rsync服务的主要配置文件，它控制rsync服务的各种属性： use chroot = no #max connections = 4 syslog facility = local5 pid file = /var/run/rsyncd.pid uid = rsync gid = rsync hosts allow = 172.28.0.0/16,12.19.248.0/24,12.1.0.0/16,12.10.248.0/24 transfer logging = true strict modes = true auth users = syncuser secrets file = /etc/rsyncd.secrets [ljdatain] path = /opt/sybase/rsyncdata/in comment = Laojiao data syncronization in read only = no list = no [ljdataout] path = /opt/sybase/rsyncdata/out comment = Laojiao data syncronization out read only = yes list = no [ljzip] path = /opt/sybase/rsyncdata/zip comment = Laojiao ZHIWEN XIANGPIAN read only = no list = no [00_common] path = /home/coderep/00_common comment = Hewei Software Deploy Home read only = no list = no [00_ju_2] path = /home/coderep/00_ju_2 comment = Hewei Software Deploy Home read only = no list = no [01_s1_2] path = /home/coderep/01_s1_2 comment = Hewei Software Deploy Home read only = no list = no [02_s2_2] path = /home/coderep/02_s2_2 comment = Hewei Software Deploy Home read only = no list = no [03_s3_2] path = /home/coderep/03_s3_2 comment = Hewei Software Deploy Home read only = no list = no [04_s4_2] path = /home/coderep/04_s4_2 comment = Hewei Software Deploy Home read only = no list = no [05_srs_2] path = /home/coderep/05_srs_2 comment = Hewei Software Deploy Home read only = no list = no [06_nvs_2] path = /home/coderep/06_nvs_2 comment = Hewei Software Deploy Home read only = no list = no [07_jds_2] path = /home/coderep/07_jds_2 comment = Hewei Software Deploy Home read only = no list = no [08_sjs_2] path = /home/coderep/08_sjs_2 comment = Hewei Software Deploy Home read only = no list = no 2.rsyncd.secrets # vi /etc/rsyncd.secrets rsyncd.secrets是存储rsync服务的用户名和密码的，它是一个明文的文本文件，如下： syncuser:syncisabigfun 因为rsyncd.secrets存储了rsync服务的用户名和密码，所以非常重要，因此文件的属性必须设为600，只有所有者可以读写： # chmod 600 /etc/rsyncd.secrets 3.rsyncd.motd # vi /etc/rsyncd.motd rsyncd.motd记录了rsync服务的欢迎信息，你可以在其中输入任何文本信息，如： 　　Welcome to use the rsync services! 4.services # vi /etc/services services并不是rsync的配置文件，这一步也可以不做。而修改了services文件的好处就在于系统知道873端口对的服务名为rsync。修改services的方法就是确保services中有如下两行，没有的话就自行加入： 　　rsync　　873/tcp　　# rsync 　　rsync　　873/udp　　# rsync 　5./etc/xinetd.d/rsync 　　# vi /etc/xinetd.d/rsync 　建立一个名为/etc/xinetd.d/rsync文件，输入以下内容： 　　service rsync 　　{ 　　　　disable = no 　　　　socket_type　　= stream 　　　　wait　　　　　 = no 　　　　user　　　　　 = root 　　　　server　　　　 = /usr/local/rsync/bin/rsync 　　　　server_args　　= --daemon 　　　　log_on_failure += USERID 　　} 　　保存后，就可以运行rsync服务了。输入以下命令： 　　# /etc/rc.d/init.d/xinetd reload 　　这样rsync服务就在这台机器上运行起来了，接下来就是如何来使用它 安装数据转发（网关）服务器 局机关数据转发（网关）服务器安装Cen os 4.3操作系统（选择的安装包与各劳教所一致，参见应用项目迁移之安装centos4.2），系统分区情况如下: （SWAP 分区是多少？2G） [root@gateway inst.script]# df -h Filesystem Size Used Avail Use% Mounted on /dev/sda3 36G 171M 34G 1% / /dev/sda1 99M 8.4M 86M 9% /boot /dev/sda5 39G 247M 37G 1% /data none 506M 0 506M 0% /dev/shm /dev/sda6 29G 155M 28G 1% /home /dev/sda9 9.7G 55M 9.1G 1% /opt /dev/sda8 15G 2.7G 12G 20% /usr /dev/sda7 20G 113M 19G 1% /var 安装双网卡其中： 网卡eth1－12.1.62.30连接市公务网。 网卡eth0－172.28.101.230连接内部网络。 由于局机关现有服务器都无法识别新增加的网卡。故所有现有服务器不作任何改动。 GATEWAY（网关）配置 vi /etc/sysconfig/network-scripts/ifcfg-eth0 增加下列行 GATEWAY=12.1.62.1 功能为？？？？？？？ 增加访问公务网的网关 端口转发配置 网卡eth0－172.28.101.230连接局机关内部网络。在新增PC上配置网络数据端口转发功能。 #echo "1" > /proc/sys/net/ipv4/ip_forward 修改/etc/sysctl.conf文件. vi /etc/sysctl.conf 将net.ipv4.ip_forward改为1。然后执行下面的命令： # sysctl –p （查看是否设置正确） 注：让linux每次启动都支持内核的包转发功能。 如果需要转发FTP数据，则需要以root用户执行以下命令： # modprobe ip_nat_ftp 并将其写入/etc/rc.d/rc.local（必须）文件中。使在系统启动时自动加载该模块。 最终转发服务器的iptables配置如下：（以下有下划线部斜体字分未验证正确与否，未设） /* 设置服务器iptables的默认规则 */ # iptables -F # iptables –P INPUT DROP # iptables –P OUTPUT ACCEPT /* 使本机可以访问自己以及内部主机可以访问该服务器 */ # iptables –A INPUT –i lo –j ACCEPT # iptables –A INPUT –i eth0 –j ACCEPT /* 我们允许市公务网的SSH流量进入服务器 */ # iptables –A INPUT –i eth1 –p TCP --dport 22 –j ACCEPT /* 我们允许市公务网上的主机对本机使用ping命令 */ # iptables –A INPUT –i eth1 –p ICMP --icmp-type 8 –j ACCEPT /* 1.0平台rsync数据同步转换，即将从源地址为12.19.248. xxx/24(或12.10.248.***/24),传到这台转发服务器的10016端口上的rsync（端口873）同步数据包，转发到局机关内网的web服务器172.28.101.16的873端口上 iptables -t nat -A PREROUTING -s 12.10.248.0/24 -d 12.1.62.30 -p tcp --dport 10016 -j DNAT --to-destination 172.28.101.16:873 iptables -t nat -A PREROUTING -s 12.19.248.0/24 -d 12.1.62.30 -p tcp --dport 10016 -j DNAT --to-destination 172.28.101.16:873 /* 2.0平台rsync代码同步转换，即将从源地址为12.19.248. xxx/24(或12.10.248.***/24),传到这台转发服务器的10013端口上的rsync（端口873）同步数据包，转发到局机关内网的代码 服务器172.28.101.13的873端口上 iptables -t nat -A PREROUTING -s 12.10.248.0/24 -d 12.1.62.30 -p tcp --dport 10013 -j DNAT --to-destination 172.28.101.13:873 iptables -t nat -A PREROUTING -s 12.19.248.0/24 -d 12.1.62.30 -p tcp --dport 10013 -j DNAT --to-destination 172.28.101.13:873 /* 1.0平台CVS代码同步转换，即将从源地址为12.19.248. xxx/24(或12.10.248.***/24),传到这台转发服务器的2401端口上的CVS（端口2401）同步数据包，转发到局机关内网的代码服务器172.28.101.13的2401端口上 iptables -t nat -A PREROUTING -s 12.10.248.0/24 -d 12.1.62.30 -p tcp --dport 2401 -j DNAT --to-destination 172.28.101.13:2401 iptables -t nat -A PREROUTING -s 12.19.248.0/24 -d 12.1.62.30 -p tcp --dport 2401 -j DNAT --to-destination 172.28.101.13:2401 /* 2.0平台ftp数据同步转换，即将从源地址为12.19.248. xxx/24(或12.10.248.***/24),传到这台转发服务器的21端口上的ftp（端口21）同步数据包，转发到内网的web服务器172.28.101.17的21端口上，允许所服务器访问局内部FTP服务器 iptables -t nat -A PREROUTING -p tcp -s 12.19.248.0/24 -d 12.1.62.30 --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j DNAT --to-destination 172.28.101.17 iptables -t nat -A PREROUTING -p tcp -s 12.10.248.0/24 -d 12.1.62.30 --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j DNAT --to-destination 172.28.101.17 /* 设置转