求助:iptables规则分析及双IP地址的问题,请白金兄帮忙,已贴图

springwind426

原帖由 platinum 于 2007-12-7 20:01 发表
Linux 因为要上网，所以默认网关指向 ISP
因为别人访问 Linux 需要跨路由，所以 Linux 要针对 10.8.33.0/24 指向 10.8.33.1
而恰恰你的 Linux 和宿舍网有相同的 IP 却不在一个二层的网络中，那么证明你的 Lin ...

版主大人什么时候都能想着来钱道，真是佩服

platinum

原帖由 springwind426 于 2007-12-7 20:36 发表



版主大人什么时候都能想着来钱道，真是佩服

我不是为了挣钱，也并非你说的“什么时候都能”，希望你不要恶意诽谤，不知道你的“什么时候都能”是哪得来的？
你不可能让我占用自己的时间为你解决问题而路费都不给我报销吧？我该你的吗？
呵呵，如果你不想去，那别人上门主动服务并收取一些费用又有什么问题吗？
我有车有房月薪过万，并不缺这点钱，对不起你把我想错了……

luojm_24680

哈哈,这个网络只是一部分,都是我在管理
我想不增加三层设备的情况下实现,如果不行或太复杂,我将增加一个设备,就很容易实现了,

谢谢白金兄,和楼上的!

springwind426

原帖由 platinum 于 2007-12-7 21:22 发表

我不是为了挣钱，也并非你说的“什么时候都能”，希望你不要恶意诽谤，不知道你的“什么时候都能”是哪得来的？
你不可能让我占用自己的时间为你解决问题而路费都不给我报销吧？我该你的吗？
呵呵，如果你不 ...

不要生气，只是开个玩笑而已

luojm_24680

感谢各位的关心和支持,问题已经解决了一部分了
现在是设置多个IP地址访问的问题已经解决,只要网关设成防火墙的相应接口地址即可

现在客户机可以PING通baidu.com的IP地址,看上去是得不到DNS解析
我的规则就一条:iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*

看到DNS解析有问题:又增加了一条:iptables -A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT

没题没有得到解决,大家帮忙看看,谢谢!

[ 本帖最后由 luojm_24680 于 2007-12-8 16:19 编辑 ]

springwind426

贴出iptables-save 的信息

还有，贴出你的客户端的IP配置情况（包括DNS）

还有，贴出你的
ip route show table all
ip addr
的信息

luojm_24680

下面是iptables-save结果,
客户机上手动设置了dns:202.106.0.20
客户机IP:10.8.33.9/24 10.8.33.251,但还是不行

show table all不知是啥意思


# Generated by iptables-save v1.3.8 on Sat Dec  8 20:42:33 2007
*nat
REROUTING ACCEPT [740:81254]
OSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth1 -j SNAT --to-source 61.50.*.*
COMMIT
# Completed on Sat Dec  8 20:42:33 2007
# Generated by iptables-save v1.3.8 on Sat Dec  8 20:42:33 2007
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [724:82619]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Sat Dec  8 20:42:33 2007

[root@sushe sysconfig]# ip route
61.50.*.*/28 dev eth1  proto kernel  scope link  src 61.50.139.251
10.8.35.0/24 dev eth0  proto kernel  scope link  src 10.8.35.1
10.8.33.0/24 dev eth0  proto kernel  scope link  src 10.8.33.251
169.254.0.0/16 dev eth1  scope link
default via 61.50.139.241 dev eth1


[root@sushe sysconfig]# ifconfig |more
eth0      Link encap:Ethernet  HWaddr 00:08:74:20:26:91
          inet addr:10.8.33.251  Bcast:10.8.33.255  Mask:255.255.255.0
          inet6 addr: fe80::208:74ff:fe20:2691/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2441 errors:0 dropped:0 overruns:0 frame:0
          TX packets:92 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:222035 (216.8 KiB)  TX bytes:12484 (12.1 KiB)
          Base address:0xe8c0 Memory:ff8c0000-ff8e0000

eth0:0    Link encap:Ethernet  HWaddr 00:08:74:20:26:91
          inet addr:10.8.35.1  Bcast:10.8.33.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Base address:0xe8c0 Memory:ff8c0000-ff8e0000

eth1      Link encap:Ethernet  HWaddr 00:03:10:01:25:07
          inet addr:61.50.*.*  Bcast:61.50.139.255  Mask:255.255.255.240
          inet6 addr: fe80::203:10ff:fe01:2507/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3917 errors:0 dropped:0 overruns:0 frame:0
          TX packets:909 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:340703 (332.7 KiB)  TX bytes:116672 (113.9 KiB)
          Interrupt:20 Base address:0xac00

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:8 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:560 (560.0 b)  TX bytes:560 (560.0 b)

[


[root@sushe sysconfig]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
61.50.139.240   0.0.0.0         255.255.255.240 U     0      0        0 eth1
10.8.35.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
10.8.33.0       0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         61.50.*.241   0.0.0.0         UG    0      0        0 eth1

请帮忙分析,谢谢!

springwind426

-A FORWARD -j RH-Firewall-1-INPUT
-A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT

这儿有问题，因为
-A FORWARD -s 10.8.32.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
永远也执行不到

-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
为什么只是在INPUT和FORWARD链上开放这些端口的访问，而其他的都禁止呢？

springwind426

eth0:0    Link encap:Ethernet  HWaddr 00:08:74:20:26:91
          inet addr:10.8.35.1  Bcast:10.8.33.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Base address:0xe8c0 Memory:ff8c0000-ff8e0000

这个地方感觉怪怪的
IP 为10.8.35.1  掩码为255.255.255.0 广播地址却是10.8.33.255

不知道你的交换机中是如何配置的，如果是划分了VLAN的话，一个网卡上分配了两个不同VLAN的IP似乎不妥
有一个IP肯定是没有作用的（除了会引起异常以外）

luojm_24680

我再检查下,然后做下实验