论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-02-02 00:54 |只看该作者 |倒序浏览

5可用积分

我申请了电信的222.60.59.16/28一段ip地址,电信端地址为222.60.59.17
使用FC5做防火墙,三个网卡,eth0接公网,eth1接dmz,eth2接内网.
我用iptables -t nat -I PREROUTING -d 222.60.59.19 -j DNAT --to 10.100.1.1将从外网访问nat到dmz(其他地址分别有别的用途).
默认规则全部ACCEPT.
做好了之后,刚开始可以从外网访问到10.100.1.1,但是过了几个小时后就不行了.
我用tcpdump 查看外网接口,不断有从222.60.59.17过来的arp请求,询问222.60.59.19的mac地址.

请各位高手帮我分析分析问题所在,是我的linux设置问题,还是电信问题!不甚感激!

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2008-02-02 08:30 |只看该作者

222.60.59.19

这个地址你配给谁了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

springwind426

小富即安

论坛徽章:: 0

3楼 [报告]

发表于 2008-02-02 10:01 |只看该作者

试试把那一段公网地址都分配给外网卡看看（假设外网卡是eth0）
比如
ip addr add eth0 222.60.59.18/28
ip addr add eth0 222.60.59.19/28
....
ip addr add eth0 222.60.59.31/28

或者
for ip in `seq 18 31`;do ip addr add eth0 222.60.59.$ip/28;done
这样也可以把所有的IP绑定到外网卡上。

还有，你得清楚ISP（电信）是否允许你这么做NAT（可以打电话询问）

因为，正常情况下，网关不会不断地发送arp请求以获取某个IP的对应的MAC的。

[ 本帖最后由 springwind426 于 2008-2-2 10:04 编辑 ]

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

4楼 [报告]

发表于 2008-02-02 10:07 |只看该作者

因为，正常情况下，网关不会不断地发送arp请求以获取某个IP的对应的MAC的

这个arp请求是在需要通讯，并且本地的ARP表中没有对应的MAC的时候才发。如果网关不断的发，说明要么有频繁的通讯需求，要么可能病毒了。
建议LZ抓包看看ARP的源MAC是不是网关的，还有请求的是那个IP的MAC。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › 一对一静态nat问题。（急）

[网络管理] 一对一静态nat问题。（急） [复制链接]