求助:iptables规则分析及双IP地址的问题,请白金兄帮忙,已贴图

luojm_24680

eth0:       10.8.33.251/24
eth0:1:    10.8.34..5/24
eth1:       61.50.*.*route -n 显示如下:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
61.50.*.*   0.0.0.0         255.255.255.240 U     0      0        0 eth1
10.8.34.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.33.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         61.50.*.241   0.0.0.0         UG    0      0        0 eth1

我的规则保存在/etc/sysconfig/firewall下,但我的客户端10.8.33.*不能通过IPTABLES上网,问题出在哪,请帮忙分析,
还有:在/etc/rc.d/rc.local里添加了一行:ifconfig eth0:1 10.8.34.5 netmask 255.255.255.0

在linux上可以ping通10.8.33.251和10.8.34.5
但我的客户端10.8.33.7可以PING通10.8.33.251
但我的客户端10.8.34.7却不能PING通10.8.34.5
(客户端接在交换机上,交换机有2个VLAN,接口地址分别是:10.8.33.252和10.8.34.2)

请问这个问题和33.*网段怎么通过IPTABLES上网? 谢谢!
more /etc/sysconfig/firewall
# Generated by iptables-save v1.3.8 on Thu Dec  6 13:56:42 2007
*mangle
REROUTING ACCEPT [864:108981]
:INPUT ACCEPT [673:78840]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [940:77660]
OSTROUTING ACCEPT [940:77660]
-A POSTROUTING -m layer7 --l7proto bittorrent -j DROP
COMMIT
# Completed on Thu Dec  6 13:56:42 2007
# Generated by iptables-save v1.3.8 on Thu Dec  6 13:56:42 2007
*filter
:INPUT ACCEPT [1480:180735]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2307:202072]
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j DROP
-A INPUT -d 10.8.32.0/255.255.252.0 -i eth1 -j DROP
-A INPUT -s 10.8.32.0/255.255.252.0 -i eth1 -j DROP
-A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
-A INPUT -m ipp2p --ipp2p -j DROP
-A INPUT -m ipp2p --xunlei -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5bdb1|" --algo kmp --to 65535 -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5bdb1e999a2|" --algo kmp --to 65535 -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5aebde9a291e5bdb1e999a2|" --algo kmp --to 65535 -j DROP
-A FORWARD -p tcp -m ipp2p --ares -j DROP
-A FORWARD -p udp -m ipp2p --kazaa -j DROP
-A FORWARD -m ipp2p --kazaa --gnu --edk --dc --bit --apple --soul --winmx --ares -j DROP
-A FORWARD -m iprange --src-range 10.8.32.0-10.8.35.254 -m ipp2p --ipp2p -j DROP
-A FORWARD -p tcp -m ipp2p --edk --soul -j DROP
-A FORWARD -m layer7 --l7proto xunlei -j DROP
-A FORWARD -m layer7 --l7proto bittorrent -j DROP
-A FORWARD -m layer7 --l7proto chikka -j DROP
-A FORWARD -m layer7 --l7proto edonkey -j DROP
-A FORWARD -m layer7 --l7proto goboogy -j DROP
-A FORWARD -m layer7 --l7proto h323 -j DROP
-A FORWARD -m layer7 --l7proto kugoo -j DROP
-A FORWARD -m layer7 --l7proto live365 -j DROP
-A FORWARD -m layer7 --l7proto mohaa -j DROP
-A FORWARD -m layer7 --l7proto poco -j DROP
-A FORWARD -m layer7 --l7proto zmaap -j DROP
-A FORWARD -m iprange --src-range 10.8.32.1-10.8.35.1 -m ipp2p --ipp2p -j DROP
-A FORWARD -p tcp -m ipp2p --bit -j DROP
-A FORWARD -p udp -m ipp2p --bit -j DROP
-A FORWARD -m ipp2p --bit -j DROP
-A FORWARD -p udp -m ipp2p --xunlei -j DROP
-A FORWARD -p tcp -m ipp2p --xunlei -j DROP
-A FORWARD -m ipp2p --xunlei -j DROP
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m ipp2p --ipp2p -j DROP
-A FORWARD -p udp -m udp --dport 53 -j ACCEPT
-A FORWARD -p udp -m udp --sport 53 -j ACCEPT
-A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -m ipp2p --xunlei -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j DROP
COMMIT
# Completed on Thu Dec  6 13:56:42 2007
# Generated by iptables-save v1.3.8 on Thu Dec  6 13:56:42 2007
*nat
REROUTING ACCEPT [610:86152]
OSTROUTING ACCEPT [1:108]
:OUTPUT ACCEPT [1:108]
-A POSTROUTING -s 10.8.33.0/255.255.255.0 -j SNAT --to-source 61.50.*.*
-A POSTROUTING -s 10.8.34.0/255.255.255.0 -j SNAT --to-source 61.50.*.*
-A POSTROUTING -s 10.8.35.0/255.255.255.0 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Thu Dec  6 13:56:42 2007


谢谢!

[ 本帖最后由 luojm_24680 于 2007-12-7 18:39 编辑 ]

platinum

先去掉那些 DROP 的规则，先把 NAT 调通，首先确保能通然后再逐渐增加过滤策略
就 NAT 而言，你的设置没有什么问题，如果其他都能出去只有 33.0/24 不行的话，不排除与有些过滤规则冲突的可能
所以，按我上面说的，先不要设置 filter 表，只要 nat 表的 POSTROUTING 链试试

luojm_24680

谢谢,我一点一点的试试,但从客户端ping不通第二个地址,请教这是什么问题

springwind426

(客户端接在交换机上,交换机有2个VLAN,接口地址分别是:10.8.33.252和10.8.34.2)

既然33和34是两个VLAN，你如何能够做到在一个网卡上加两个VLAN的IP的？

用了truck和vconfig来配置IP的吗？

springwind426

-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -j DROP

.........

-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -j DROP
........

根据你的这个规则，从linux以外的机器是不能ping它上面的IP的，你确说能够通过10.8.33.7去ping 10.8.33.251和10.8.34.2

搞不明白（iptables中，虚拟接口也作为一个单独的接口吗？）

要是不用虚拟接口，而是用ip工具给一个网卡绑定多个IP，结果会怎样？

luojm_24680

感谢楼上的老兄:
既然33和34是两个VLAN，你如何能够做到在一个网卡上加两个VLAN的IP的？

我不是在一个网卡上加的,是把电脑接在交换机上的不同接口上再设不同的地址完成的

通过10.8.33.7去ping 10.8.33.251是通的,       但不能ping 通10.8.34.2

要是不用虚拟接口，而是用ip工具给一个网卡绑定多个IP，结果会怎样？   不知道这句话是什么意思?

springwind426

原帖由 luojm_24680 于 2007-12-7 11:31 发表
感谢楼上的老兄:
既然33和34是两个VLAN，你如何能够做到在一个网卡上加两个VLAN的IP的？

我不是在一个网卡上加的,是把电脑接在交换机上的不同接口上再设不同的地址完成的

通过10.8.33.7去ping 10.8.33.2 ...

我是说，你的linux上面设置了33和34两个段的IP，可是那是两个VLAN，虽然是用了虚拟接口eth0:1

可是它仍然通过一个物理接口eth0通过一条网线连接到交换机上，所以我才这么问的

platinum

贴一下交换机的配置

dzb_01

请是楼上各位这是过滤什么能否解释一下,我查了半了ASCII码的HEX对应也没查出来啊

-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5bdb1|" --algo kmp --to 65535 -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5bdb1e999a2|" --algo kmp --to 65535 -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5aebde9a291e5bdb1e999a2|" --algo kmp --to 65535 -j DROP

谢谢

platinum

这不是中文，而是用户所关心的数据包里的 hex 而已
至于这些 hex 代码代表什么，就要问楼主了