求助:iptables规则分析及双IP地址的问题,请白金兄帮忙,已贴图

dzb_01

哦,这样啊
我说ASCII怎么不好查找呢

谢谢platinum

luojm_24680

请是楼上各位这是过滤什么能否解释一下,我查了半了ASCII码的HEX对应也没查出来啊

QUOTE:
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5bdb1|" --algo kmp --to 65535 -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5bdb1e999a2|" --algo kmp --to 65535 -j DROP
-A FORWARD -d 10.8.32.0/255.255.252.0 -m string --hex-string "|e5aebde9a291e5bdb1e999a2|" --algo kmp --to 65535 -j DROP

这几个是汉字"影院" 宽带影院等,利用IPTABELS-SAVE保存后,自动变成这个了



交换机配置:

vlan 33
name br33
#
vlan 34
description "1 hao sushelou internet"
name sushe_1

interface Vlan-interface33
ip address 10.8.33.252 255.255.255.0
#
interface Vlan-interface34
ip address 10.8.34.2 255.255.255.0

interface Ethernet3/0/5
port access vlan 33

interface Ethernet3/0/6
port access vlan 33

interface Ethernet3/0/7
port access vlan 34

interface Ethernet3/0/8
port access vlan 34

iptables这台机器接在Ethernet3/0/6,客户端接在Ethernet3/0/6,且客户端地址设成10.8.33.199/24,网关设成10.8.33.251,这时能ping通10.8.33.251,

iptables这台机器仍然接在Ethernet3/0/6不变,
客户端接在Ethernet3/0/7,且客户端地址设成10.8.34.199/24,网关设成10.8.34.5,这时不能ping通10.8.34.5,

请再帮忙,谢谢!

dzb_01

呵呵,我照这个表查了半天
http://www.asciitable.com/

HX的从0到7F的一个一个对也对不上,呵呵

原来是直接打的汉字

luojm_24680

iptables这台机器仍然接在Ethernet3/0/6不变,
客户端接在Ethernet3/0/7,且客户端地址设成10.8.34.199/24,网关设成10.8.34.5,这时不能ping通10.8.34.5,

我意识到,10.8.34.*网段的客户端电脑的网关,大概设置成10.8.34.2就能PING通10.8.34.5了,

还未经过实验验证,  但这样设置有个问题,就是10.8.33.0和10.8.34.0网段的电脑都需要通过iptables上网,(注意,交换机上的默认网关,已经指向别的设备,不能再指向iptables),又怎么解决呢

platinum

好像拓扑设计有问题，但你太多东西都是文字描述看起来很晕很不直观，希望你能画个拓扑图，标明目前物理线路接法以及要实现的东西，请修改顶楼贴子

springwind426

3/0/6与3/0/7是两个不同的VLAN

因此，当你的linux与客户端都接在3/0/6上的时候，实际上它们是在一个广播域上，因此，无论你的客户端设置成哪个IP都是可以用linux相通的（不考虑防火墙）

但是，当linux与客户端分别接在3/0/6 与3/0/7上的时候，它们是两个VLAN，不属于同一个广播域，因此，不通是很正常的了，此时，不管你的客户端设置成什么IP，它与linux都不应该通的，否则就是你的交换机有问题了。

楼上的问题我似乎在哪儿见过，好象是有一个防火墙连接外网，现在又增加了一个Linux拨号，想让某些网段通过linux上网，又不想改变三层交换的缺省路由，又不想在防火墙上动手脚，而且，三层交换又不能指定策略路由。

我的建议是：
1、在三层交换上改变缺省路由，然后由linux在做策略路由
或者
2、防火墙上做策略路由
或者
3、linux设立代理服务器，33和34段设置代理上网
或者
4、linux上用vconfig来配置vlan（这个要看你的linux内核支持不支持vlan），把linux与交换机相连的接口设置成truck，然后在linux配置虚拟接口，33和34段分别将缺省网关指向linux相对应的虚拟接口的IP
或者
5、与4基本相同，只是linux用多块网卡，这样就不需要在交换机上做任何修改，但是33和34的客户端仍然需要修改网关（或者设置代理）

个人感觉：3或者4方案或者5方案改动的部分太多，不太可取

luojm_24680

谢谢,有策略路由和代理上网的实际应用的例子吗,我参考着做一下,
还有Vconfig的例子
麻烦推荐资料!
没做过,现学现用,

linux设立代理服务器，33和34段设置代理上网,是说设置了代理服务器后,不用设策略路由就可以吗,我觉得不行,还要设置策略路由,不知对不对

非常感谢大家的热情帮助,我想在大家的帮助下,我会搞定的

springwind426

设置策略路由的方法：

假设
linux的内网IP是192.168.33.251，相对应的是网关192.168.33.252，通过这个IP，linux能够与所有的内网IP相通信

原来的缺省路由是192.168.33.1（交换机上设置的缺省路由，如果不是，你需要修改linux的IP，使得它与原来的缺省路由在同一个VLAN，IP在同一网段）。
需要在交换机上把原来的缺省路由修改为linux的内网IP。

在linux上设置的网关是外网卡的网关

然后添加路由：(下面所有的net*都指内网的，格式是 网络/掩码，gw0是指交换机上设置的该网段的网关[192.168.33.252]，gw1是原来的缺省路由下一跳[192.168.33.1]，eth0是内网网卡)
ip route add net1 via gw0 dev eth0
ip route add net2 via gw0 dev eth0
.....
这样设置后，能够保证访问内网的机器的时候，能够正常访问。

下面是策略路由：
ip route add net1 via gw0 dev eth0 table 100
ip route add net2 via gw0 dev eth0 table 100
.....
ip route add default via gw1 dev eth0 table 100  #注意这儿，路由表100中的缺省路由节点是gw1

ip rule add from net1 table 100
ip rule add from net2 table 100
......
需要把内网的所有网段加到rule中（除了那些想让它们通过这台linux出去的网段除外）


这样，数据包的走向是：
客户A 发送一个数据包，进入交换机中，交换机寻找路由，如果是内部IP，就地消化了，如果是外部IP，那么就把数据包扔给linux，linux查找路由，如果是允许通过本机访问外网的IP，就通过eth1扔到外部网关那儿去，否则，就把数据包扔到原来的那个缺省路由所在的设备上，至此完成一个数据包的发送。


iptables的配置：
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE   #在外网网卡上进行地址伪装

iptables -P FORWARD ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j DROP  #不允许外网对内网的主动访问

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -s 管理IP -j ACCEPT
iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT
iptables -F OUTPUT  #在OUTPUT链上不设置任何规则，除非你需要限制linux本身的对外访问。

这样，一个简单的防火墙就准备好了。

如果你需要更细的访问控制的话，可以在FORWARD链上做访问控制，不过需要注意的是，那些通过它转发到原来的路由设备上的数据包都是要经过这个链的，因此做访问控制的时候要多加小心，不要把它们禁止了。

[ 本帖最后由 springwind426 于 2007-12-7 15:13 编辑 ]

luojm_24680

楼上说的很详细,我很喜欢,但没有图,

能把相配套的图贴出来吗,便于我理解,学习!

原来的缺省路由是192.168.33.1（交换机上设置的缺省路由，如果不是，你需要修改linux的IP，使得它与原来的缺省路由在同一个VLAN，IP在同一网段）。
对于上面这段话,不是很理解,如果与缺省路由在同一个VLAN了,问题似乎就已经解决了(况且由于实际情况,不允许那样改动,请详解)


我对你上面这个策略路由理解的不好,请贴出配套图来,看看我是不是理解错了,谢谢!

platinum

看到了楼主的拓扑图，想问一下你的交换机是二层的还是三层的，是否支持路由转发功能
如果只支持二层不支持路由，那么可否说一下各不同网段的 IP 是如何设置默认路由指向非 Linux 设备的防火墙的？
我初步想了一个比较简单的实现方式，但需要确认一些信息

[ 本帖最后由 platinum 于 2007-12-7 15:42 编辑 ]