关于linux路由设计的问题

madebynt

我现在有6个ip地址，想分配给内网的10多台机子，什么方案可以有效利用资源？
我现在的想法是两～3个机子绑定一个ip，作个nat，但是这样的话如果有的机子不用的话又会浪费掉ip带宽，有没有什么类似于动态连接池的办法？另外如果一个主机带动内网的话，iptables会不会是速度瓶颈？
先谢了

platinum

我现在的想法是两～3个机子绑定一个ip，作个nat，但是这样的话如果有的机子不用的话又会浪费掉ip带宽

你说的是浪费掉 IP 还是浪费掉带宽？后者怎么会？
另外你想过没有，既然你考虑到了机器不用的话浪费，但有没有考虑过如果做 nat 的机器突然关机了其他机器怎么办？

madebynt

原帖由 platinum 于 2006-8-4 05:31 发表

你说的是浪费掉 IP 还是浪费掉带宽？后者怎么会？
另外你想过没有，既然你考虑到了机器不用的话浪费，但有没有考虑过如果做 nat 的机器突然关机了其他机器怎么办？

sorry that i did not clearly express it. I does mean wasting of ip  because in our network the flow per ip is restricted.
As to machine halting, it is rather an exception than a rule since my server performed nice mostly.
A related question, if i flush all three tables then do nothing, does that mean that filter has't any rule on all packets? If it is true, then i add a rule in POSTROUTING chain of NAT table as following:
iptables -t nat -A POSTROUTING -s LAN_NET -o eth1 -j SNAT --to WANIP
,in which LAN_NET is my local net through eth0, and WANIP is my internet ip through eth1. But why clients  from local net could't connect to internet through the machine? A more word, ip_forward is on.  
BTW, excuse me for my english writing because my chinput can't work now.

[ 本帖最后由 madebynt 于 2006-8-4 20:40 编辑 ]

platinum

还有一个 idea
不知道你们的 IP 绑定了 MAC 没有
不知道你们的 IP 限速是做在交换机端口上的还是针对逻辑层上的 IP 的
若以上二者都没有，可以采用这样的拓扑

1. 
   
2.    public
   
3.   \______/
   
4.      |
   
5.      | 6 IPs
   
6.    server
   
7.      | private IP
   
8.      |
   
9.    switch
   
10.   /  |  \
    
11. pc1 ... pc10
    

复制代码

找个破机器，装两个网卡
eth0 绑 6 个 IP，比如 10.1.0.1 - 10.1.0.6
eth1 做为内网服务器，比如设定 IP 为 192.168.1.254
用 iptables 的 SNAT 均衡功能实现多 IP 轮训负载，并启用路由转发

1. 
   
2. #! /bin/bash
   
3. 
   
4. echo 1 > /proc/sys/net/ipv4/ip_forward
   
5. 
   
6. for i in INPUT FORWARD OUTPUT;do
   
7.     iptables -P $i ACCEPT
   
8. done
   
9. 
   
10. for i in filter nat;do
    
11.     iptables -t $i -F
    
12.     iptables -t $i -X
    
13. done
    
14. 
    
15. iptables -A INPUT -i lo -j ACCEPT
    
16. iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    
17. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
18. iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to 10.1.0.1-10.1.0.6
    
19. iptables -P INPUT DROP
    

复制代码

madebynt

原帖由 platinum 于 2006-8-4 20:41 发表
还有一个 idea
不知道你们的 IP 绑定了 MAC 没有
不知道你们的 IP 限速是做在交换机端口上的还是针对逻辑层上的 IP 的
若以上二者都没有，可以采用这样的拓扑
[code]
   public
  \______/
     |
     | ...

nice idea,it's really what I want to do
Our IP don't bind to MAC, so your strategy is excellent.
I would have a try. 3ks!

madebynt

原帖由 platinum 于 2006-8-4 20:41 发表
还有一个 idea
不知道你们的 IP 绑定了 MAC 没有
不知道你们的 IP 限速是做在交换机端口上的还是针对逻辑层上的 IP 的
若以上二者都没有，可以采用这样的拓扑
[code]
   public
  \______/
     |
     | ...

用你提供的脚本运行好像有点问题,第一是DNS解析不了,我的服务器上面没有DNS,我在客户端上输入另外一个DNS服务器地址但是不工作,而我直接输入ip的网站几乎都能打开.第二打开的网站有的网页也不能显示.按照你的脚本应该是安全设置最低的,怎么会这样呢?

platinum

你需要告诉我你在客户端上是如何设置 DNS 的
另外针对有些网页不能访问的问题，我没有遇到过，你应该告诉我具体表现是什么才好分析

madebynt

原帖由 platinum 于 2006-8-5 01:18 发表
你需要告诉我你在客户端上是如何设置 DNS 的
另外针对有些网页不能访问的问题，我没有遇到过，你应该告诉我具体表现是什么才好分析

客户端的d n s 设成外部一个DNS服务器的ip地址.
表现的症状是客户端浏览器大部分网页打不开,但是加上代理后几乎能正常工作,直接输入几个网址的ip,也能打开,我估计问题可能出在DNS上.因为用代理和输入IP都不需要DNS。而有的网页连接打不开那是因为它们需要DNS。问一下,这样设置包的过滤没有大缺陷吧.会不会把DNS的端口给过滤了呢?我的DNS设置在网关机子上能正常工作。

[ 本帖最后由 madebynt 于 2006-8-5 03:49 编辑 ]

madebynt

haha,突然好了，莫名其妙的好了！晕了，我还在想怎么把DNS的包导出来呢，看来你的脚本没问题，我这个地方比较邪，害我熬了一夜。
不过这个脚本对网关本身的防护级别应该很低吧，估计以后还得量身定做自己的
谢谢哦

platinum

看来你一点都不了解 iptables，什么 DNS 被阻止了，脚本有问题，网关自身防护级别低
别猜了，去看看 iptables 的资料吧