求助：iptable一段时间后失效！

toniz

系统是centOS，内核版本是2.6.32-71.el6.x86_64
配置了iptables的snat:
Chain POSTROUTING (policy ACCEPT 49704 packets, 2987K bytes)
pkts bytes target     prot opt in     out     source               destination         
   39  2427 SNAT       all  --  *      eth0    192.168.1.13         0.0.0.0/0           to:183.129.228.91


一开始是可以用的，但一段时间后，就不能用了。要重启iptables才可以。这个问题很纠结啊。kernel日志也没报错。

chenyx

没遇到过.记得以前有人问过同样的问题,我这测试也是正常的.

chenyx

你添加完规则,iptables-save保存下,看看还有问题没有了

toniz

一开始是可以用的，几周后（时间不定），突然就发现内网的机器上不了网了。
重跑一下iptables脚本就又可以用了。

toniz

1. #!/bin/sh
   
2. /sbin/iptables -P INPUT ACCEPT
   
3. /sbin/iptables -P FORWARD ACCEPT
   
4. /sbin/iptables -P OUTPUT ACCEPT
   
5. /sbin/iptables -t nat -F
   
6. /sbin/iptables -t nat -X
   
7. /sbin/iptables -t nat -P PREROUTING ACCEPT
   
8. /sbin/iptables -t nat -P POSTROUTING ACCEPT
   
9. /sbin/iptables -t nat -P OUTPUT ACCEPT
   
10. /sbin/iptables -t mangle -F
    
11. /sbin/iptables -t mangle -X
    
12. /sbin/iptables -t mangle -P PREROUTING ACCEPT
    
13. /sbin/iptables -t mangle -P INPUT ACCEPT
    
14. /sbin/iptables -t mangle -P FORWARD ACCEPT
    
15. /sbin/iptables -t mangle -P OUTPUT ACCEPT
    
16. /sbin/iptables -t mangle -P POSTROUTING ACCEPT
    
17. /sbin/iptables -F
    
18. /sbin/iptables -X
    
19. /sbin/iptables -t raw -F
    
20. /sbin/iptables -t raw -X
    
21. 
    
22. 
    
23. echo 1 > /proc/sys/net/ipv4/ip_forward
    
24. 
    
25. 
    
26. iptables -t nat -A POSTROUTING -s 192.168.1.13 -o eth0 -j SNAT --to 183.129.228.91
    
27. 
    
28. /sbin/iptables-save
    

复制代码

这个是脚本，有没有什么软件或者其他原因会影响到iptables的稳定性的。

chenyx

哦,原来是这样,会不会是iptables的conntrack表满了?应该不会啊,那个表满了,日志里面会有记录的.
论坛有个大容量nat服务器的帖子,你搜索下,看看优化下机器,是否还出现你的这个现象

toniz

之前也发现把内网机器做dnet和snet映射成外网服务器也会有这种情况。一段时间就不行了。重启iptables 服务就又可以了。

chenyx

http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=2044659
楼主参考下这个,优化下你的linux

toniz

好的  谢谢chenyx