免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2890 | 回复: 9
打印 上一主题 下一主题

[网络管理] 客户端不能上网,怀疑iptables的dns规则问题 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2007-12-08 16:22 |只看该作者 |倒序浏览
eth0:10.8.33.251/24
eth1:61.50.*.*

客户端ip:10.8.33.7/24 网关:10.8.28.251

我的规则就一条:iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
客户机可以PING通baidu.com的IP地址,看上去是得不到DNS解析

看到DNS解析有问题:又增加了一条:iptables -A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
没题还是没有得到解决,大家帮忙看看,谢谢!

论坛徽章:
0
2 [报告]
发表于 2007-12-08 16:53 |只看该作者
問題描述不清楚,建議你貼出你整個 rule 配置,或者是 iptables-save 執行輸出結果更好。

--

论坛徽章:
0
3 [报告]
发表于 2007-12-08 19:26 |只看该作者
可以先手动给客户机器加上dns看下,把问题具体一下。

论坛徽章:
0
4 [报告]
发表于 2007-12-08 20:56 |只看该作者
下面是iptables-save结果,
客户机上手动设置了dns:202.106.0.20
客户机IP:10.8.33.9/24 10.8.33.251,但还是不行

# Generated by iptables-save v1.3.8 on Sat Dec  8 20:42:33 2007
*nat
REROUTING ACCEPT [740:81254]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Sat Dec  8 20:42:33 2007
# Generated by iptables-save v1.3.8 on Sat Dec  8 20:42:33 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [724:82619]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Dec  8 20:42:33 2007

[root@sushe sysconfig]# ip route
61.50.*.*/28 dev eth1  proto kernel  scope link  src 61.50.139.251
10.8.35.0/24 dev eth0  proto kernel  scope link  src 10.8.35.1
10.8.33.0/24 dev eth0  proto kernel  scope link  src 10.8.33.251
169.254.0.0/16 dev eth1  scope link
default via 61.50.139.241 dev eth1


[root@sushe sysconfig]# ifconfig |more
eth0      Link encap:Ethernet  HWaddr 00:08:74:20:26:91
          inet addr:10.8.33.251  Bcast:10.8.33.255  Mask:255.255.255.0
          inet6 addr: fe80::208:74ff:fe20:2691/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2441 errors:0 dropped:0 overruns:0 frame:0
          TX packets:92 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:222035 (216.8 KiB)  TX bytes:12484 (12.1 KiB)
          Base address:0xe8c0 Memory:ff8c0000-ff8e0000

eth0:0    Link encap:Ethernet  HWaddr 00:08:74:20:26:91
          inet addr:10.8.35.1  Bcast:10.8.33.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Base address:0xe8c0 Memory:ff8c0000-ff8e0000

eth1      Link encap:Ethernet  HWaddr 00:03:10:01:25:07
          inet addr:61.50.*.*  Bcast:61.50.139.255  Mask:255.255.255.240
          inet6 addr: fe80::203:10ff:fe01:2507/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3917 errors:0 dropped:0 overruns:0 frame:0
          TX packets:909 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:340703 (332.7 KiB)  TX bytes:116672 (113.9 KiB)
          Interrupt:20 Base address:0xac00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:560 (560.0 b)  TX bytes:560 (560.0 b)

[


[root@sushe sysconfig]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
61.50.139.240   0.0.0.0         255.255.255.240 U     0      0        0 eth1
10.8.35.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.33.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         61.50.*.241   0.0.0.0         UG    0      0        0 eth1


请帮忙分析,谢谢!

论坛徽章:
0
5 [报告]
发表于 2007-12-08 22:26 |只看该作者
你的 forward chain 跳到 rh 本身的 rule 去了,所以跑你敘述開打開 port 53

我個人建議你還是養成習慣先把之前的 rule 清空後才進行。清空方式請參考 faq:

Linux iptables firewall 設定常見 FAQ 整理

http://linux.chinaunix.net/bbs/thread-812400-1-1.html


--

论坛徽章:
0
6 [报告]
发表于 2007-12-10 08:17 |只看该作者
我再检查下,然后做下实验

论坛徽章:
0
7 [报告]
发表于 2007-12-11 11:23 |只看该作者

iptables脚本开机不能自动执行:-bash: /etc/sysconfig/iptables: Permission denied

[root@sushe ~]# /etc/sysconfig/iptables
-bash: /etc/sysconfig/iptables: Permission denied

[root@sushe ~]# more /etc/rc.d/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local
ifconfig eth0 add 10.8.35.1 netmask 255.255.255.0

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
#iptables -F -t mangle
#iptables -X -t mangle
#iptables -Z -t mangle

/etc/sysconfig/iptables
[root@sushe ~]#

[root@sushe ~]# more /etc/sysconfig/iptables
# Generated by iptables-save v1.3.8 on Tue Dec 11 10:01:27 2007
*nat
REROUTING ACCEPT [2047:254489]
OSTROUTING ACCEPT [2:127]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Tue Dec 11 10:01:27 2007
# Generated by iptables-save v1.3.8 on Tue Dec 11 10:01:27 2007
*filter
:INPUT ACCEPT [347:59060]
:FORWARD ACCEPT [79:4926]
:OUTPUT ACCEPT [62:10360]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p udp -m udp --dport 631 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue Dec 11 10:01:27 2007
[root@sushe ~]#

请帮忙解决,谢谢!

评分

参与人数 1可用积分 -15 收起 理由
platinum -15 重复发帖

查看全部评分

论坛徽章:
5
IT运维版块每日发帖之星
日期:2015-08-06 06:20:00IT运维版块每日发帖之星
日期:2015-08-10 06:20:00IT运维版块每日发帖之星
日期:2015-08-23 06:20:00IT运维版块每日发帖之星
日期:2015-08-24 06:20:00IT运维版块每日发帖之星
日期:2015-11-12 06:20:00
8 [报告]
发表于 2007-12-11 13:51 |只看该作者
你客户端的DNS设置对了吗?

论坛徽章:
0
9 [报告]
发表于 2007-12-11 13:54 |只看该作者
当然,是对的,不是这个问题,谢谢

论坛徽章:
0
10 [报告]
发表于 2007-12-11 15:03 |只看该作者
原帖由 luojm_24680 于 2007-12-11 13:54 发表
当然,是对的,不是这个问题,谢谢


你的 ipv4 forwarding 沒有開,不是嗎 ?

--
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP