SOS: 问一个关于IPTABLES的愚蠢问题

beechi

一台双网卡的LINUX机器做网关, 联接2个子网(都是私有子网). 如果在该机器上配置好了路由,是否就具有路由功能? 还是一定要启用IPTABLES才能具有路由功能, 放火墙的包过滤不必考虑.

请高手赐教,谢谢.

llzqq

不用

xuhehao

“如果在该机器上配置好了路由,是否就具有路由功能?”
这个逻辑问题的答案是肯定的，但这是你要表达的意思吗？ 提问是需要技巧的

kunlunsnow

iptables的作用是对数据包进行过滤，和是否具备路由功能无关。
实现路由功能不仅仅要把路由配置好，还要记得把转发打开。
echo 1 >; /proc/sys/net/ipv4/ip_forward

beechi

问题可能描述的不太清除.
我是指如果网关机器配置好了静态路由,但没有启用IPTABLES,是否能够路由数据包.

xuhehao

原帖由 "beechi" 发表：
问题可能描述的不太清除.
我是指如果网关机器配置好了静态路由,但没有启用IPTABLES,是否能够路由数据包.

配置好了静态路由如何理解呢？举个例子

bigcat_00

把往两个方向的路由都配置好了，然后再echo '1'>;/proc/sys/net/ipv4/ip_forward一下就可以了。不需要iptables。

xiaodi553

linux里的路由是什么东西呢?

beechi

谢谢各位, 我是没有把包转发开关打开, 所以碰到问题了.

在启动脚本里 echo '1' >; /proc/sys/net/ipv4/ip_forward 或者
将/etc/sysctl.conf里面配置为 net.ipv4.ip_forward = 1 .


另外请教一个问题:
Windows Client(2000 Professional) 需要logon到防火墙隔开的Windows 2000 Server PDC遇到很大问题.
1.WINDOWS CLIENT 加入到WINDOWS DOMAIN里, 也就是CLINET LOGON问题.
2. WINDOWS CLINET要访问WINDOWS DOMAIN(也是FIREWALL隔开的)里的文件和打印资源, 问题也是一样的.

我在IPTABLES上开方了137,138,139,445等端口,还是无法实现WINDOWS 环境下的网络特性: 如 LOGON, NEIGHBOUR BROWSE/FIND, FILE/PRINT SHARE等.
只能用IP地址来访问, 无法用NetBIOS名字来访问.

原因我猜测是因为我在IPTABLES上做了NAT (MASQUERADE)造成, 听说NBT包经过MASQUERADE后有些包头信息(不是地址信息)变化了, WINDOWS DOMAIN MASTER BROWSER, MASTER BROWSER的选举无法进行.

我在网上GOOGLE了很多资料,没有很权威的解释和办法,CISCO有个文档很系统,但不详悉.有的文章说NETFILTER目前无法支持NBT NATED这个功能.

这个WINDOWS 环境下的ROUTER/FIREWALL问题我想好多兄弟应该碰到过,能否指点一二?


谢谢了.

xuhehao

原帖由 "beechi" 发表：
谢谢各位, 我是没有把包转发开关打开, 所以碰到问题了.

在启动脚本里 echo '1' >; /proc/sys/net/ipv4/ip_forward 或者
将/etc/sysctl.conf里面配置为 net.ipv4.ip_forward = 1 .


另外请教一个问题:
Win..........

不要用-j MASQUERADE，用-j SNAT --to x.x.x.x试一下