我的错

mcns

昨天刚刚架设完成透明防火墙，今天网络中心就把我们实验室的网给断了，原因是导致其他实验室10.30.84.*的用户IP地址冲突。我分析之后得到了原因，是我加的路由有问题。工作环境见下图：

我们实验室只有二十余台机器，全部在10.30.84.*网段，其他的实验室也有10.30.84.*网段的机器，我在透明防火墙加上了一条路由:
ip route add 10.30.84.0/24 dev eth1
就是这条路有惹的祸，当其他实验室10.30.84.*网段内的机器重起之后，它会进行IP冲突检测(详见上一篇日记)，由于透明防火墙自知可以为整个10.30.84.*网段的机器进行路由，故它会应答ARP request，导致在防火墙之外的其他实验室的10.30.84.*网段内的机器ip地址冲突！！
更改后防火墙的路由配置应该只加入属于自己实验室IP的路由项，即便是主机路由也可以。

ps：之后我们实验室被封网至周一！！我的错，当时我配置的时候就预感到了这一点，只是当时累了，就没多想，还连累了师兄！按照学校规定，任何人都不能架设NAT，即便是内网也不行，可我也没有办法，想要在IP\MAC地址绑定的情况下，实现透明防火墙，我想到的最合理的方式就是NAT了，希望高手指点。

在校园里想做些实验真难啊！





本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/19940/showart_121687.html