请教iptables的问题

lsm_sd

各位老大小弟近期有一棘手问题，望各位帮忙，事情是这样的：

单位的防火墙突然坏掉了，这样单位上机器不能上网,关键是老大正和网上MM聊的热乎,这下坏菜了,老大下令必须尽快解决可是防火墙是fortigate号称国内修不了,只能发美国.这样兄弟想到用iptables先解决问题,可是在做snat是无论如何也不成功!望各位兄弟帮忙救命先!

  我单位的网络解构是这样的(有点乱):

   一台中心3com三层交换机(sw1),然后联到一台另一台三层3com(sw2),工作站的网段是218.1.0.0划分了几个vlan,都联到sw1,默认网关是218.1.1.202 ,218.1.1.202是sw2的设备地址,sw2也划分了几个vlan,vlan1的ip地址为192.168.1.254,sw2的默认网关为192.168.1.1,我的iptables防火墙联在sw2上,防火墙的内网网卡地址为192.168.1.1 .现在问题是,内网的机器只有ip地址设为192.168.1.0网段并且联在sw2上才能通过iptables防火墙出去,其余218.1.0.0网段的任何机器都不能上网.交换机的路由设置肯定没有问题,原来用fortigate防火墙是一切很正常,并且我用一个简单的宽带路由起也可以.各位老大帮帮忙给看看.
我的iptables snat的设置如下:

iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 1.2.3.4  其中eth1为外网地址.谢谢了!

platinum

1、确定你的 eth1 是外网 interface
2、确定你打开了内核级路由转发 ip_forward
3、确定你的所有用户二层直连到 Linux 的内网网卡，且网关设置为该地址

PS: 你上面的一大段对网络拓扑的描述我没看，画个图出来

springwind426

其实不难，将你的软网关替换防火墙，原来接防火墙外网的的现在不接软网关的外网，假设是eth0，原来接防火墙内网的现在接软网关的内网，假设是eth1
网卡的IP设置与防火墙的各网卡的IP一样，路由设置也相同

写个最简单的脚本就可以应急了：

iptables -F
iptables -t nat -F

iptables -P FORWARD DROP
iptables -P INPUT DROP

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state ESTABLISED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #允许所有的内网机器访问外网
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

platinum

原帖由 springwind426 于 2006-9-22 23:51 发表
写个最简单的脚本就可以应急了：

iptables -F
iptables -t nat -F

iptables -P FORWARD DROP
iptables -P INPUT DROP

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -A INPUT -m state --state ESTABLISED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT #允许所有的内网机器访问外网
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

这个脚本恐怕不能通，忽略了 FORWARD 的回包问题

mdjhaitao

原帖由 lsm_sd 于 2006-9-22 18:05 发表
各位老大小弟近期有一棘手问题，望各位帮忙，事情是这样的：

单位的防火墙突然坏掉了，这样单位上机器不能上网,关键是老大正和网上MM聊的热乎,这下坏菜了,老大下令必须尽快解决可是防火墙是fortigate号称国内修 ...

你这个.如果都是三层交换机的话。加几个路由.很简单的。.
不行就ip route 0.0.0.0 0.0.0.0 s0  你的网关地址
你不是连这个都忘了吧.
然后最好把你的拓扑图弄一下。..要不没法帮你写