很抓狂的问题

Yuri.G.

网络环境：
[NetGear KWGR614无线路由器]----------｛无线网卡==F35主机==有线网卡｝++++++笔记本

无线路由器和F35主机之间是靠一块无线网卡连接的，笔记本跟F35主机是有线连接的。
笔记本的IP是，192.168.10.252/24
F35主机，有线网卡IP是192.168.10.254/24，无线网卡是192.168.1.3/24网关是192.168.1.1也就是无线路由的IP

我在F35主机上做NAT了，笔记本可以上网，但是很慢，整个路由器都慢，上去看日志发现一些IP Spoofing
内容是这样的：

1. 
   
2. Monday,11 Jan 2010 04:01:40 [IP Spoofing](TCP) LAN to WAN 192.168.10.252:4522->192.168.1.1:80 [Drop]
   
3. Monday,11 Jan 2010 04:01:40 [IP Spoofing](TCP) LAN to WAN 192.168.10.252:4523->192.168.1.1:80 [Drop]
   
4. Monday,11 Jan 2010 04:01:40 [IP Spoofing](TCP) LAN to WAN 192.168.10.252:4524->192.168.1.1:80 [Drop]
   

复制代码

你肯定认为是我的Iptables的NAT没做好，策略如下：

1. 
   
2. root@F35:~/bin# iptables -t nat -vnL
   
3. Chain PREROUTING (policy ACCEPT 586 packets, 46593 bytes)
   
4. pkts bytes target     prot opt in     out     source               destination         
   
5. 
   
6. Chain POSTROUTING (policy ACCEPT 93 packets, 8475 bytes)
   
7. pkts bytes target     prot opt in     out     source               destination               
   
8.    76  4200 MASQUERADE  all  --  *      *       192.168.10.0/24      0.0.0.0/0           
   
9. 
   
10. Chain OUTPUT (policy ACCEPT 64 packets, 4700 bytes)
    
11. pkts bytes target     prot opt in     out     source               destination   
    

复制代码

很郁闷，怎么就没伪装出去呢？还呗路由器发现了原始IP。。。
我试过，SNAT方式也这样。

platinum

感觉上网很慢这个问题比较奇怪
有几个问题需要确认一下
1、是只有笔记本上网慢，还是这样做了以后所有人都感觉慢，若是后者，NAT 规则保持不变，物理连接保持不变，设置 ip_forward = 0 试试看
2、看看是否与启用了 SELinux 有关，设置成 Disabled 重启试试
3、看看网络中是否存在 ARP 病毒，在 F35 和笔记本上抓包看看是否有广播风暴
4、F35 上是不是跑了什么东西，是什么提示“IP Spoofing](TCP) LAN to WAN”字样的，我 google 没查到有相同提示的资源
5、若仍无法解决问题，可尝试将 WAN 和 LAN 做成 bridge，这样笔记本通过有线上网就好像无线一样了

Yuri.G.

原帖由 platinum 于 2010-1-11 09:23 发表
感觉上网很慢这个问题比较奇怪
有几个问题需要确认一下
1、是只有笔记本上网慢，还是这样做了以后所有人都感觉慢，若是后者，NAT 规则保持不变，物理连接保持不变，设置 ip_forward = 0 试试看
2、看看是否与 ...

嘻嘻，我还说给你发过去呢，你自己就来看了。


1、如果按照如上拓扑接入的话，整体都慢，甚至IP Spoofing严重的时候导致路由器掉线之类的，ip_forward禁用掉之后还能正常NAT么？理论上不能了吧？不过我没试过。
2、F35没有启动SeLinux，也不支持。
3、广播病毒的可能性比较小，我抓过包，基本都是正常的http数据，因为是两台机器直接以太相连的所以广播也少。
4、IP Spoofing是Netgear路由器报的错，在日志里面看到的。
5、我们的思路很相近，我开始就是这么想的，这几块网卡戳个Bridge出来，我想他肯定是帮我透传出去了呢，结果不行，研究了半天proxyarp也没啥结果，不过那个会是下一部研究的。
我是想看到这个抓狂的问题就先看看吧，昨晚折腾了一个通宵也没啥思路，搞不明白哪里的问题。
F35做NAT的内核是2.6.27，如果路由器上果真收到源IP是192.168.10.252过来的数据包，那是不是意味着这个NAT有漏包现象呀？
这个问题很有折腾价值哦。

platinum

1、如果按照如上拓扑接入的话，整体都慢，甚至IP Spoofing严重的时候导致路由器掉线之类的，ip_forward禁用掉之后还能正常NAT么？理论上不能了吧？不过我没试过。

禁掉后肯定是不能 NAT 了，不过我就是想测试一下在什么都不变的情况下，仅仅从 F35 上禁掉 NAT，路由器是否还抓狂
从而缩小问题范围

另外，如果可能的话，能否通过某种技术手段抓一下 NETGARE 收到的内网数据
而且在 F35 的 WAN 上也抓一下数据，看抓狂时是否真的有 192.168.10.252 这个地址存在，我很纳闷 NETGARE 怎么知道这么个地址的？？？

Yuri.G.

原帖由 platinum 于 2010-1-11 11:40 发表

禁掉后肯定是不能 NAT 了，不过我就是想测试一下在什么都不变的情况下，仅仅从 F35 上禁掉 NAT，路由器是否还抓狂
从而缩小问题范围

另外，如果可能的话，能否通过某种技术手段抓一下 NETGARE 收到的内网 ...

哥哥，我禁掉NAT就看不见路由器了，是不抓狂了，消停了，可我也上不了网了。
Netgare通过无线连的，中间又没法加桥，还真不好弄。
我想是不是可以用另一个笔记本，跟F35做ad-hoc来把自己模拟成路由器端，听听包试试。

[ 本帖最后由 Yuri.G. 于 2010-1-11 17:57 编辑 ]

Yuri.G.

原帖由 baidu874 于 2010-1-11 17:23 发表
能不能把F35主机的接口信息以及路由信息提供一下？

另外，你把这套系统连上你的网络的时候，你是看到路由器上不停的生成
Monday,11 Jan 2010 04:01:40 (TCP) LAN to WAN 192.168.10.252:4524->192.168.1.1: ...

F35很普通的一个Linux，路由表就是本地两个网段，还有一个default Gateway指向无线路由器。我晚上看能不能拷出来。
是的，我接上去之后就不停生成IP　Spoofing的日志，同时路由器很慢，网络也很慢，长时间的话会掉线。

Yuri.G.

原帖由 baidu874 于 2010-1-11 18:04 发表
实在不行你这样试试吧：

在你的netgear上做一条静态路由
192.168.10.0/24 gw 192.168.1.3
然后把F35上的NAT去掉
在netgear上做NAT。
看看这样是不是就好了。
感觉你这个是NAT有问题。

那样也会报IP Spoofing的，而且完全拒绝数据包，还要在F35上打开ARP代理