《iptables 高级使用研讨》PPT 及相关源代码（讲座视频新鲜出炉！！！）

zfsoft2206

回复 38# platinum

斑竹，你看下面的脚本应该明白了，现在没有环境，等下周再实验下，不知道有没有问题，因为之前用SNAT是不能连接internet的，现在改成MASQUERADE。

1. #!/bin/sh
   
2. #
   
3. # netdetectd -- Start netdetect server
   
4. #
   
5. # chkconfig: 35 93 07
   
6. # description:        Starts, stops pppoe server
   
7. #
   
8. 
   
9. # Source function library.
   
10. . /etc/init.d/functions
    
11. 
    
12. IFCONFIG=/sbin/ifconfig
    
13. IP=/sbin/ip
    
14. PPPOE_SERV=/sbin/pppoe-server
    
15. IPTABLES=/sbin/iptables
    
16. BRCTL=/usr/sbin/brctl
    
17. LOCKF=/var/lock/subsys/netdetectd
    
18. NDSVC=/etc/netdetective/bin/netdetective
    
19. NDSVR=/etc/netdetective/bin/ndsvr
    
20. NDCLI=/etc/netdetective/bin/ndclient
    
21. 
    
22. if [ ! -x $IFCONFIG ]; then
    
23.     echo -n $"$IFCONFIG does not exist."; warning; echo
    
24.     exit 1
    
25. fi
    
26. 
    
27. if [ ! -x $IP ]; then
    
28.     echo -n $"$IP does not exist."; warning; echo
    
29.     exit 1
    
30. fi
    
31. 
    
32. if [ ! -x $PPPOE_SERV ]; then
    
33.     echo -n $"$PPPOE_SERV does not exist."; warning; echo
    
34.     exit 1
    
35. fi
    
36. 
    
37. if [ ! -x $IPTABLES ]; then
    
38.     echo -n $"$IPTABLES does not exist."; warning; echo
    
39.     exit 1
    
40. fi
    
41. 
    
42. if [ ! -x $BRCTL ]; then
    
43.     echo -n $"$BRCTL does not exist."; warning; echo
    
44.     exit 1
    
45. fi
    
46. 
    
47. if [ ! -x $NDSVC ]; then
    
48.     echo -n $"$NDSVC does not exist."; warning; echo
    
49.     exit 1
    
50. fi
    
51. 
    
52. if [ ! -x $NDSVR ]; then
    
53.     echo -n $"$NDSVR does not exist."; warning; echo
    
54.     exit 1
    
55. fi
    
56. 
    
57. if [ ! -x $NDCLI ]; then
    
58.     echo -n $"$NDCLI does not exist."; warning; echo
    
59.     exit 1
    
60. fi
    
61. 
    
62. # MAX is the maximum number of addresses your server
    
63. # is allowed to hand out.
    
64. MAX=5
    
65. 
    
66. # BASE is the lowest IP address your server is allowed
    
67. # to hand out.
    
68. LOCT=`ifconfig eth0|grep 'inet addr:'|awk -F: '{print $2}'|awk '{print $1}'`
    
69. BASE=`ifconfig eth0|grep 'inet addr:'|awk -F: '{print $2}'|awk '{print $1}'|awk -F. -v OFS=. '$4<255{$4=$4+1}1'`
    
70. 
    
71. # NAT is the set of addresses which your server will
    
72. # NAT behind it. Other addresses behind your server
    
73. # WILL NOT be NATed.
    
74. NAT=`ip route list|grep 'dev eth0'|awk '{print $1}'`
    
75. 
    
76. # MYIP is the public IP address of this server.
    
77. MYIP=`ifconfig eth1|grep 'inet addr:'|awk -F: '{print $2}'|awk '{print $1}'`
    
78. 
    
79. setfwrule() {
    
80. 
    
81.     $IPTABLES -t mangle -F
    
82.     $IPTABLES -t nat -F
    
83.     $IPTABLES -F
    
84. 
    
85.     #mangle PREROUTING
    
86.     $IPTABLES -t mangle -P PREROUTING ACCEPT
    
87. 
    
88.     #nat PREROUTING
    
89.     $IPTABLES -t nat -P PREROUTING ACCEPT
    
90.     $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -m mark ! --mark 0x8 -j DNAT --to-destination $LOCT:8080
    
91. 
    
92.     #filter FORWARD
    
93.     $IPTABLES -P FORWARD DROP
    
94.     $IPTABLES -A FORWARD -p icmp -j ACCEPT
    
95.     $IPTABLES -A FORWARD -p tcp --dport 22 -j ACCEPT
    
96.     $IPTABLES -A FORWARD -p tcp --sport 22 -j ACCEPT
    
97.     $IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT
    
98.     $IPTABLES -A FORWARD -p udp --sport 53 -j ACCEPT
    
99.     $IPTABLES -A FORWARD -p udp --dport 68 -j ACCEPT
    
100.     $IPTABLES -A FORWARD -p udp --sport 68 -j ACCEPT
     
101.     $IPTABLES -A FORWARD -p udp --dport 1812 -j ACCEPT
     
102.     $IPTABLES -A FORWARD -p udp --sport 1812 -j ACCEPT
     
103.     $IPTABLES -A FORWARD -p udp --dport 1813 -j ACCEPT
     
104.     $IPTABLES -A FORWARD -p udp --sport 1813 -j ACCEPT
     
105. 
     
106.     $IPTABLES -A FORWARD -m mark --mark 8 -j ACCEPT
     
107.     $IPTABLES -A FORWARD -m physdev --physdev-in eth3 -j ACCEPT
     
108. 
     
109.     $IPTABLES -A FORWARD -s $LOCT -j ACCEPT
     
110.     $IPTABLES -A FORWARD -d $LOCT -j ACCEPT
     
111. 
     
112.     #nat POSTROUTING
     
113.     $IPTABLES -t nat -P POSTROUTING ACCEPT
     
114.     #$IPTABLES -t nat -A POSTROUTING -s $NAT -j SNAT --to-source $MYIP
     
115.     $IPTABLES -t nat -A POSTROUTING -s $NAT -j MASQUERADE
     
116. }
     
117. 
     
118. resetfwrule() {
     
119.     $IPTABLES -t mangle -F
     
120.     $IPTABLES -t nat -F
     
121.     $IPTABLES -F
     
122. 
     
123.     $IPTABLES -t mangle -P PREROUTING ACCEPT
     
124.     $IPTABLES -t nat -P PREROUTING ACCEPT
     
125.     $IPTABLES -P FORWARD ACCEPT
     
126.     $IPTABLES -t nat -P POSTROUTING ACCEPT
     
127. }
     
128. 
     
129. RETVAL=0
     
130. case "$1" in
     
131.     start)
     
132.             echo -n $"Starting pppoed server: "
     
133.             daemon $PPPOE_SERV -T 60 -I eth0 -N $MAX -L $LOCT -R $BASE
     
134.             RETVAL=$?
     
135.             echo
     
136.             [ $RETVAL -eq 0 ] && touch $LOCKF
     
137.         setfwrule
     
138. 
     
139.         $BRCTL addbr ethr
     
140.         $BRCTL addif ethr eth3
     
141.         $BRCTL addif ethr eth2
     
142.         $IFCONFIG eth3 0.0.0.0 up
     
143.         $IFCONFIG eth2 0.0.0.0 up
     
144.         $IFCONFIG ethr up
     
145.             ;;
     
146.     stop)
     
147.             echo -n $"Stopping pppoed server: "
     
148. 
     
149.         $IFCONFIG ethr down
     
150.         $IFCONFIG eth2 down
     
151.         $IFCONFIG eth3 down
     
152.         $BRCTL delif ethr eth2
     
153.         $BRCTL delif ethr eth3
     
154.         $BRCTL delbr ethr        
     
155. 
     
156.         resetfwrule
     
157.             killproc $PPPOE_SERV
     
158.             RETVAL=$?
     
159.             echo
     
160.             [ $RETVAL -eq 0 ] && rm -f $LOCKF
     
161.             ;;
     
162.     status)
     
163.         status $PPPOE_SERV
     
164.             RETVAL=$?
     
165.         ;;
     
166.     restart)
     
167.             $0 stop
     
168.             sleep 3
     
169.             $0 start
     
170.             RETVAL=$?
     
171.             ;;
     
172.     *)
     
173.             echo $"Usage: $0 {start|stop|status|restart}"
     
174.             exit 1
     
175.             ;;
     
176. esac
     
177. 
     
178. exit $RETVAL
     

复制代码

platinum

总算看明白了
你的 Linux 实际有 3 个网卡
eth0 对外
eth1 和 eth2 对内，想桥接
你想对 eth1 做 PPPoE，且只能 PPPoE 后才允许上网
你想对 eth2 直接做 NAT，只要连上 eth2 后就可以直接出去
同时你需要 eth2 也能和 eth1 互访

是这个需求吗？
如果是，那么你直接对 eth1 做 PPPoE，对 eth2 做 NAT 就可以了，两个所在网段不同，但可以通过 Linux 路由
如果你一定要将 eth1 和 eth2 桥接，可能会涉及到很多其他麻烦事情

zfsoft2206

回复 42# platinum

在上一个经过验证的网管版本上是eth1连接Internet，eth0做PPPoE拨号

没经过验证的版本是eth3连接Internet，eth0做PPPoE拨号，eth2接内网（内网包括拨号子网）

{:3_186:}  不知道这个脚本能不能实现这个功能！

platinum

如果仅仅是这个需求，那很好实现
但由于时间不是很充裕，你的脚本又很长，我没有仔细看

zfsoft2206

回复 44# platinum

不需要看太多地方，看下三个地方就行了，一个是

1. $IPTABLES -A FORWARD -m physdev --physdev-in eth3 -j ACCEPT

复制代码

接着是桥接部分

1.         $BRCTL addbr ethr
   
2.         $BRCTL addif ethr eth3
   
3.         $BRCTL addif ethr eth2
   
4.         $IFCONFIG eth3 0.0.0.0 up
   
5.         $IFCONFIG eth2 0.0.0.0 up
   
6.         $IFCONFIG ethr up

复制代码

最后就是

1. $IPTABLES -t nat -A POSTROUTING -s $NAT -j MASQUERADE

复制代码

platinum

你这样做有几个问题
1、FORWARD 默认是 DROP，而其中你又没设置 ESTABLISHED 和 REALITED 允许通过，可能通不了
2、你单纯让 eth2 与 eth3 桥接，那么 eth2 下面的机器无法与 eth0 拨号的机器通信，你的需求我不太明确，我没得到 42 楼猜测的确认
3、如果 eth3 是网桥，而没有桥地址，那么 Linux 自己是无法上网的，且我不清楚 Linux 是否之前配置了公网 IP，如果是，难道你的 eth2 的所有 IP 也都各自配成不同的公网 IP 吗？

建议你把需求、拓扑、环境、接法等都描述清楚
在讲课时我提到了《提问的智慧》

zfsoft2206

你这样做有几个问题
1、FORWARD 默认是 DROP，而其中你又没设置 ESTABLISHED 和 REALITED 允许通过，可能通 ...
platinum 发表于 2010-08-11 14:05

1、FORWARD设置成DROP，是堵接内网的station能够访问外部，这个不需要考虑，需要的时候偶会用下面的命令开通它：

iptables -A FORWARD -s 192.168.xxx.xxx -j ACCEPT
iptables -A FORWARD -d 192.168.xxx.xxx -j ACCEPT

2、42楼你所说的跟我验证过的网关方式一样，那个地方是用eth0拨号，eth1连接外网，没有问题，现在需求的是：为了能够使接eth3接口的管理子网（可以看成能连接Internet的外网，肯定不是Internet）访问接eth2的监控子网（包括eth0拨号子网，eth0和eth2接的都是内网），那就使用透明网桥。
3、eth0可以配置就是所谓公网IP，因为拨号子网和外部管理子网可能是同一网段，至于拨号客户端的IP能够被拨号服务器指定一个范围，这个地方暂时不用考虑，因为能达成拨号，下面就是连网的问题。

至于网络拓扑和接法43楼说的很明白吧？环境用的是CentOS5.4，需求就是：就算有拨号存在，还是能使用透明网桥达成管理子网（外网）和监控子网（内网）互访，甚至这两个网络属于同一个网段。

斑竹如果还是不明白了，那这个问题就到此为止，还是非常感谢了！

platinum

有几个概念比较乱
1、管理子网（外网）：eth3
2、监控子网（内网）：eth2

没经过验证的版本是eth3连接Internet，eth0做PPPoE拨号，eth2接内网（内网包括拨号子网）

那么 eth0 做 PPPoE 服务，eth2 所连接的网络还要拨 eth0 的 PPPoE 吗？

eth0做PPPoE拨号，eth2接内网（内网包括拨号子网）

需求也很不清楚，有拨号存在，存在在哪里？从哪拨到哪里？

需求就是：就算有拨号存在，还是能使用透明网桥达成管理子网（外网）和监控子网（内网）互访

感觉这个问题其实不是问题，问题在于对问题的描述和对问题的理解上，我一直都没有弄清具体的需求和具体的环境

queniao

深刻学习下

linuxboy823

白金老大，爱4你了！