Linux enterprise as5 NAT主机配置，如有什么问题敬请指正

ffxskffxsk

1.首先打开路由转发，有两种方法，如下操作：
A．修改/etc/sycctl.conf，打开路由转发，此方法重新开机后不用再修改此参数，永久有效。
vi /etc/sysctl.conf 查看此文件所有参数查阅此文件。
也可通过 man sysctl 和 sysctl –a |more 结合查看所有参数
主要修改一下参数
net.ipv4.ip_forward = 1                      启用数据包转发功能，做NAT主机
net.ipv4.tcp_syncookies =1                   防止部分syn攻击
net.ipv4.tcp_synack_retries = 5 改成3         降低重试次数                  
net.ipv4.tcp_syn_retries = 5  改成3           降低重试次数
net.ipv4.tcp_max_syn_backlog = 1024 改成2048容纳更多等待连接的网络连接数

B．使用命令 echo 1 >> /proc/sys/net/ipv4/ip_forward,使用此方法的缺点是每次开机必须重新运行一次，否则转发功能失效。可以在/etc/rc.d/rc.local文件中添加该命令，每次开机都会运行此文件内的命令。



2.设置内外网卡及DNS IP
外网卡设置       电信IP    设置电信default gw
内网卡设置       内网IP    不设default gw
DNS  设置       /etc/resolve.conf文件里设置  电信DNS  IP


3.DHCP Server配置
因此次没有设置dhcp service，所以这一块暂且空缺，以后补上。


4.iptables设置
有关iptables学习资料请参阅这两个文件  
modprobe  ip_nat_ftp module in order to support FTP active and passive mode
/sbin/iptables –F                       清空filter 表INPUT 链中的所有规则
/sbin/iptables –X                       清空fileter表user自定义的规则
/sbin/iptables –Z                   filter表计数器清零
/sbin/iptables -F -t nat             nat表清空规则
/sbin/iptables -X -t nat             nat表清空user自定义guize
/sbin/iptables -Z -t nat             nat表计数器清空

/sbin/iptables -P INPUT DROP               拒绝向本机发出的任何请求
/sbin/iptables -P OUTPUT DROP             拒绝离开本机的数据包      
/sbin/iptables -P FORWARD DROP           拒绝流过本机的任何数据
/sbin/iptables -t nat -P PREROUTING ACCEPT拒绝目的nat的任何请求，nat主机不能联通外网
/sbin/iptables -t nat -P POSTROUTING ACCEPT允许源nat的任何请求
/sbin/iptables -t nat -P OUTPUT ACCEPT      允许nat主机发出对外网请求的数据包
iptables -A INPUT –i lo –j ACCEPT                          接受nat主机向nat主机的任何请求
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT –i eth0 –p tcp –-dport 22 –j ACCEPT            接受从内网访问nat主机的sshd服务   
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT                                 允许内网的数据包流过本机并
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT   记录相关连接，以便数据返回时接受      
iptables -t nat -A POSTROUTING -s 内网ip/netmask -o eth1 -j MASQUERADE  内网访问internet转换IP

修改默认iptables，保障重启后仍然生效。
service iptables save 默认保存到/etc/sysconfig/iptables 开机后iptables默认使用此文件配置
让iptables开机启动
chkconfig  -- level  345  iptables on
chkconfig  -- list iptables
iptables 0：off 1：off 2：off 3：on 4：on 5：on 6：off
在子网下测试，是否可以上网。完

[ 本帖最后由 ffxskffxsk 于 2008-10-22 12:06 编辑 ]