设置NAT转发，打开ip_forward,马上ping不通外网，ping内网正常。

honckly

设置NAT转发，ip_forward没设置1前，ping外网正常,设置ip_forward=1，马上ping不通外网，ping内网正常。

网络设置如下：
设置eth0的ip和添加路由信息，
[root@bogon ~]# ifconfig eth0 1.1.1.12 netmask 255.0.0.0
[root@bogon ~]# route add -net 1.0.0.0 netmask 255.0.0.0

设置eth1的ip和添加路由信息，
[root@bogon ~]# ifconfig eth1 192.168.1.111 netmask 255.255.255.0
[root@bogon ~]# route add -net 192.168.1.0 net mask 255.255.255.0

再添加一条缺省路由，
[root@bogon ~]# route default gw 192.168.1.1

然后再设置转发，
网络就崩溃了。

以下是一些配置和日志信息。

[root@bogon ~]# cat /proc/sys/net/ipv4/ip_forward 0 [root@bogon ~]# [root@bogon ~]# ping 1.1.1.202 PING 1.1.1.202 (1.1.1.202) 56(84) bytes of data. 64 bytes from 1.1.1.202: icmp_seq=1 ttl=128 time=0.552 ms 64 bytes from 1.1.1.202: icmp_seq=2 ttl=128 time=0.483 ms [root@bogon ~]# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. 64 bytes from 192.168.1.1: icmp_seq=1 ttl=64 time=0.426 ms [root@bogon ~]# ping www.baidu.com PING www.a.shifen.com (202.108.22.5) 56(84) bytes of data. 64 bytes from xd-22-5-a8.bta.net.cn (202.108.22.5): icmp_seq=1 ttl=52 time=12.1 ms [root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 1 [root@localhost ~]# [root@bogon ~]# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. 64 bytes from 192.168.1.1: icmp_seq=92 ttl=64 time=0.420 ms --- 192.168.1.1 ping statistics --- 116 packets transmitted, 10 received, 91% packet loss, time 114999ms rtt min/avg/max/mdev = 0.411/0.421/0.432/0.028 ms [root@bogon ~]# ping www.baidu.com PING www.a.shifen.com (202.108.22.141) 56(84) bytes of data. --- www.a.shifen.com ping statistics --- 15 packets transmitted, 0 received, 100% packet loss, time 13999ms [root@bogon ~]#

人如其图

ip_forward其实就是路由转发，它并不会对你的出口地址进行NAT，也就是说你的出口地址是私网地址，这让百度怎么给你回包呢？你是否应该再加上一条NAT记录呢？可以参考一下这位兄弟的帖子http://www.chinalinuxpub.com/bbs/showthread.php?t=29034

testvpn

把前后的完整路由表贴上来吧

ssffzz1

是啊。还有iptables-save的。

chenyx

楼主那个网卡对应试外网啊?
画个简单的topo图,另外,把route表和iptables规则贴上来

honckly

原帖由 chenyx 于 2009-12-28 21:14 发表
楼主那个网卡对应试外网啊?
画个简单的topo图,另外,把route表和iptables规则贴上来

画个简单的top结构：
   内网---------------------------||-------------------------Host----------------------------||----------------------------外网
(1.1.1.x/24)                            eth0                                                                             eth1                         (192.168.1.X/24)
                                       (1.1.1.12/8)                                                                 (192.168.1.111/24)

设置转发前的route 和 iptables-save:

ping 外网(www.baidu.com)和网关(192.168.1.1)正常

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 0 [root@localhost ~]# [root@localhost ~]# ping www.baidu.com PING www.a.shifen.com (119.75.216.30) 56(84) bytes of data. 64 bytes from 119.75.216.30: icmp_seq=1 ttl=57 time=11.3 ms

设置转发前的route信息和iptables-save:

[root@localhost ~]# route Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.1.0     *               255.255.255.0   U     0      0        0 eth1 link-local      *               255.255.0.0     U     0      0        0 eth1 1.0.0.0         *               255.0.0.0       U     0      0        0 eth0 default         bogon           0.0.0.0         UG    0      0        0 eth1 [root@localhost ~]# [root@localhost ~]# iptables-save # Generated by iptables-save v1.3.8 on Tue Dec 29 13:01:03 2009 *mangle :PREROUTING ACCEPT [7229:375737] :INPUT ACCEPT [55:23148] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [22:3517] :POSTROUTING ACCEPT [22:3517] COMMIT # Completed on Tue Dec 29 13:01:03 2009 # Generated by iptables-save v1.3.8 on Tue Dec 29 13:01:03 2009 *filter :INPUT ACCEPT [490:127160] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [131:14861] COMMIT # Completed on Tue Dec 29 13:01:03 2009 # Generated by iptables-save v1.3.8 on Tue Dec 29 13:01:03 2009 *nat :PREROUTING ACCEPT [14634:718198] :POSTROUTING ACCEPT [9:728] :OUTPUT ACCEPT [9:728] COMMIT # Completed on Tue Dec 29 13:01:03 2009

设置转发后的route和iptables-save：

[root@localhost ~]# cat /proc/sys/net/ipv4/ip_forward 1 [root@localhost ~]# ping 192.168.1.1 PING 192.168.1.1 (192.168.1.1) 56(84) bytes of data. --- 192.168.1.1 ping statistics --- 2 packets transmitted, 0 received, 100% packet loss, time 999ms [root@localhost ~]# ping www.baidu.com PING www.a.shifen.com (119.75.213.61) 56(84) bytes of data. --- www.a.shifen.com ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms [root@localhost ~]# route Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 192.168.1.0     *               255.255.255.0   U     0      0        0 eth1 link-local      *               255.255.0.0     U     0      0        0 eth1 1.0.0.0         *               255.0.0.0       U     0      0        0 eth0 default         bogon           0.0.0.0         UG    0      0        0 eth1 [root@localhost ~]# [root@localhost ~]# iptables-save # Generated by iptables-save v1.3.8 on Tue Dec 29 13:05:02 2009 *mangle :PREROUTING ACCEPT [27346:1510208] :INPUT ACCEPT [672:215813] :FORWARD ACCEPT [4485:217272] :OUTPUT ACCEPT [297:39158] :POSTROUTING ACCEPT [4782:256430] COMMIT # Completed on Tue Dec 29 13:05:02 2009 # Generated by iptables-save v1.3.8 on Tue Dec 29 13:05:02 2009 *filter :INPUT ACCEPT [1107:319825] :FORWARD ACCEPT [4485:217272] :OUTPUT ACCEPT [406:50502] COMMIT # Completed on Tue Dec 29 13:05:02 2009 # Generated by iptables-save v1.3.8 on Tue Dec 29 13:05:02 2009 *nat :PREROUTING ACCEPT [31991:1558602] :POSTROUTING ACCEPT [2325:112206] :OUTPUT ACCEPT [18:1316] COMMIT # Completed on Tue Dec 29 13:05:02 2009 [root@localhost ~]#

honckly

前后对比了下route表和iptables-save，内容一样啊。。。

ssffzz1

在Eth1接口抓包看看啥结果。

honckly

原帖由 人如其图 于 2009-12-29 22:10 发表
ip_forward其实就是路由转发，它并不会对你的出口地址进行NAT，也就是说你的出口地址是私网地址，这让百度怎么给你回包呢？你是否应该再加上一条NAT记录呢？可以参考一下这位兄弟的帖子http://www.chinalinuxpu ...

可是我在Host上 ping我的出口私网地址也ping不通啊。

honckly

偶尔能通，但是会出现大量丢包。