dhcp服务问题

zhou_rock

先说一下网络环境：

1、外线——〉总交换机——〉NAT路由器（linux，提供dhcp服务）——〉内网交换机——〉PC（windows）
                    ^                                                                       |
                    |                                                                        |
                    |                                                                        |
                     ————————————————————————————
2、外线提供多个公网ip地址，202.*.*.2-14，路由器分配为202.*.*.2，接eth0，mac地址：*.*.*.*.*.A2 ；eth1接内网，mac地址：*.*.*.*.*.16，dhcp服务器提供的ip范围是192.168.1.100-200。

出现的故障：

1、客户机先设置成静态ip地址为192.168.1.150（100-200），然后再使用自动获得ip地址，就很顺利的获得ip地址。

2、如果客户机先设置成静态ip地址为192.168.1.254，然后再使用自动获得ip地址，经常是无法获得ip地址，即使能获得也要好久才能获得。

抓包后分析，第二种情况dhcp offer好象是给了个192.168.1.100-200的地址（每次不一样）。但是客户机request后，服务器没有确认。不知道怎么回事，客户机就一直request。
在PC上查看arp列表。显示192.168.1.1地址的mac对应的是路由器eth0的mac：*.*.*.*.*.A2，过了一段时间后才变为：*.*.*.*.*.16。

另外，如果客户机设置为公网ip地址后，在设置为192.168.1.254后，不会马上就能ping通路由器。

以上交待的可能罗嗦了点，不过很想搞明白。望高手给予指点，如何解决。先谢谢了

一下为路由器的iptables ：

# Generated by iptables-save v1.3.6 on Thu Jun 14 09:33:42 2007
*mangle
REROUTING ACCEPT [37544792:17517478234]
:INPUT ACCEPT [902111:85777467]
:FORWARD ACCEPT [36587225:17424087548]
:OUTPUT ACCEPT [396128:60506370]
OSTROUTING ACCEPT [36956428:17482727906]
COMMIT
# Completed on Thu Jun 14 09:33:42 2007
# Generated by iptables-save v1.3.6 on Thu Jun 14 09:33:42 2007
*nat
REROUTING ACCEPT [1922457:199475160]
OSTROUTING ACCEPT [764:78618]
:OUTPUT ACCEPT [764:78618]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -j SNAT --to-source 202.*.*.2
COMMIT
# Completed on Thu Jun 14 09:33:42 2007
# Generated by iptables-save v1.3.6 on Thu Jun 14 09:33:42 2007
*filter
:INPUT DROP [492032:42814662]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [395585:60476256]
-A INPUT -s 127.0.0.1 -i eth0 -j DROP
-A INPUT -d 127.0.0.1 -i eth0 -j DROP
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP
-A INPUT -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP
-A INPUT -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
-A INPUT -s 127.0.0.1 -j ACCEPT
-A INPUT -d 127.0.0.1 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 127.0.0.1 -i eth0 -j DROP
-A FORWARD -d 127.0.0.1 -i eth0 -j DROP
-A FORWARD -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP
-A FORWARD -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP
-A FORWARD -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
-A FORWARD -o eth0 -p tcp -m tcp --sport 137:139 -j DROP
-A FORWARD -o eth0 -p udp -m udp --sport 137:139 -j DROP
-A FORWARD -s ! 192.168.1.0/255.255.255.0 -i eth1 -j DROP
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -o eth0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --sport 137:139 -j DROP
-A OUTPUT -o eth0 -p udp -m udp --sport 137:139 -j DROP
-A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Jun 14 09:33:42 2007

[ 本帖最后由 zhou_rock 于 2007-6-15 16:25 编辑 ]

ssffzz1

首先确认防火墙没问题。然后DHCP绑定ETH1网卡。

zhou_rock

原帖由 ssffzz1 于 2007-6-14 10:14 发表于 2楼  
首先确认防火墙没问题。然后DHCP绑定ETH1网卡。

看不出来防火墙有什么问题。那位高手给看看，dhcp已经绑定了eth1

wysilly

ip route list

zhou_rock

#ip route list
202.*.*.0/29 dev eth0 proto kernel   scope link  src  202.*.*.2
192.168.1.0/24 dev eth1 proto kernel  scope  link src 192.168.1.1
default via 202.*.*.1 dev eth0
#

wysilly

arp -s绑定ip到eth1的mac.

有两种可能,网内还有另一个dhcp server,网内有机子中了arp的毒,说我就是所有的人.来找我吧.

zhou_rock

原帖由 wysilly 于 2007-6-14 23:08 发表于 7楼  
arp -s绑定ip到eth1的mac.

有两种可能,网内还有另一个dhcp server,网内有机子中了arp的毒,说我就是所有的人.来找我吧.

即使网内还有1个dhcp 服务器，pc得到的192.168.1.1的mac也不应该是eth0的吧 。

ssffzz1

有ARP代理吗。关掉。
另外不会用MAC相同的网卡吧，查一下病毒。

zhou_rock

原帖由 ssffzz1 于 2007-6-15 05:27 发表于 9楼  
有ARP代理吗。关掉。
另外不会用MAC相同的网卡吧，查一下病毒。

谢谢，没有ARP代理，不过路由器上的2块网卡，mac地址就最后1位不一样。