论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2004-10-22 11:12 |只看该作者 |倒序浏览

我现正在改造我们公司网络，以前的网络结构如下：

PC，PC--- 交换机---proxy  代理服务器
我的proxy 代理服务器运行正常(linux+iptables)，所有客户段都能上网及控制权限。后来我改造了网络后，结构如下所示：

（网段1）PC，PC---- 交换机---双网卡服务器---交换机（网段二)---proxy 代理服务器

现在我在“双网卡服务器”上安装了linux,配置脚本如下所示，现在如果我在网段1 的PC机上ping 202.96.134.133能ping 出去。有回复，但如果我上网，发邮件则不行，请斑竹帮我看下，在此先谢了！

#!/bin/sh
#Enable Modules..........

modprobe ip_tables

modprobe iptable_filter
modprobe iptable_nat
modprobe ip_nat_ftp

modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

#Enable IP Forwarding..........

echo 1 >;/proc/sys/net/ipv4/ip_forward

INET_IF="ppp0"
EXT_IF="eth0"
LAN_IF="eth1"
LAN_IP="192.168.2.6"
FW_IP="192.168.0.8"

LO_IF="lo"
LO_IP="127.0.0.1"

#RESET THE DEFAULT POLICIES IN THE TABLES
iptables -F
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

iptables -A FORWARD -i $LAN_IF -j ACCEPT
iptables -A FORWARD -o $EXT_IF -j ACCEPT

iptables -A FORWARD -p udp -s 192.168.2.0/24 -d any/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.2.0/24 -d any/0 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.2.0/24 -d any/0 -j ACCEPT

iptables -A FORWARD -p tcp -s any/0 -d 192.168.2.0/24  -j ACCEPT
iptables -A FORWARD -p udp -s any/0 -d 192.168.2.0/24  -j ACCEPT
iptables -A FORWARD -p icmp -s any/0 -d 192.168.2.0/24  -j ACCEPT

# SET NAT

iptables -A  POSTROUTING -t nat  -o $EXT_IF -s 192.168.2.0/24 -j SNAT --to-source $FW_IP

文库|博客

szkingrose

稍有积蓄

论坛徽章:: 0

2楼 [报告]

发表于 2004-10-23 08:09 |只看该作者

请教下我这个脚本出错在那

iptables -A FORWARD -p tcp -s any/0 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -p udp -s any/0 -d 192.168.2.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s any/0 -d 192.168.2.0/24 -j ACCEPT
这三句根本没作用。因为所有外网数据只能到达本机。

iptables -A FORWARD -i $LAN_IF -j ACCEPT
iptables -A FORWARD -o $EXT_IF -j ACCEPT
将这两句去掉。

再试试。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lusec3

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2004-10-23 11:06 |只看该作者

请教下我这个脚本出错在那

还是不行，我看
下路由表，开始有点错误，现在改正过来了，改正后如下：。
Destination    Gateway       Genmask       Flags Metric Ref Use Iface
192.168.0.1    *             255.255.255.255 UH 0    0       0 eth0
192.168.2.0    *             255.255.255.0 U    0    0       0 eth1
192.168.0.0    *             255.255.255.0 U    0    0       0 eth0
169.254.0.0    *             255.255.0.0    U    0    0       0 eth1
127.0.0.0    *             255.0.0.0    U    0    0       0 lo
default       192.168.0.1    0.0.0.0       UG 0    0       0 eth0

这里192.168.2.0/24是网段一，我在网段二在公司内部有内部站点和邮件系统。邮件系统IP: 192.168.0.2  ,如果我在网段一192.168.2.250
telnet 192.168.0.2 25
说没端口打开，我估计还是做ＮＡＴ没做好。但为什么ping 192.168.0.2,ping 202.96.134.133  都可以了。