建立双外网后，内网服务器不能正常访问！！！

hehao109

网络模拟图

ip:192.168.4.100          ip:192.168.4.101
         -----                           -----
        |pc1|                          |pc2|
        -----                            -----
          |                                   |
          |                                   |
          |                                   |
      ip:192.168.4.1            ip:192.168.4.2
        --------                      --------
        |路由器|                     |路由器|
        --------                      --------
外网1 ip:192.168.2.1        外网2 ip:192.168.3.1
          |                               |
          |                               |
          |                               |
    eth1:192.168.2.2            eth2:192.168.3.2
        --------------------------------
        |                防 火 墙                |
        --------------------------------
内网     eth0:192.168.1.1
                        |
                        |
                        |
                    --------
                    |交换机|
                    --------
                       |
         -----------------------
         |                              |
   ip:192.168.1.100          ip:192.168.1.101
       -----                       -----
       |pc3|                      |web|
       -----                       -----
      
防火墙规则
1。防火墙默认全允许
2。源地址转换规则
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.2.2
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source 192.168.3.2
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.1
3。web服务器映射规则
iptables -t nat -A PREROUTING -i eth1 -p tcp -d 192.168.2.2 --dport 8080 --to-destination 192.168.1.101:80
iptables -t nat -A PREROUTING -i eth2 -p tcp -d 192.168.3.2 --dport 8080 --to-destination 192.168.1.101:80

路由设置
1。wan1的设置
ip route replace 192.168.2.0/24 dev eth1 src 192.168.2.2 table 101(外网1的路由表)
ip route replace default via 192.168.2.1 dev eth1 table  101(外网1的路由表)
ip route replace 192.168.2.0/24 dev eth1 src 192.168.2.2
ip rule add from 192.168.2.2 table 101(外网1的路由表)
2。wan2的设置
ip route replace 192.168.3.0/24 dev eth2 src 192.168.3.2 table 102(外网2的路由表)
ip route replace default via 192.168.3.1 dev eth2 table  102(外网2的路由表)
ip route replace 192.168.3.0/24 dev eth2 src 192.168.3.2
ip rule add from 192.168.3.2 table 102(外网2的路由表)
3。双wan口的设置       
ip route replace scope global default nexthop via 192.168.2.1 dev eht1 \
                                   nexthop via 192.168.3.1 dev eht2
                                               
问题
        4.101访问web服务器能成功，4.100访问web服务器不能成功
       
分析
1。
只设一个网关时对应的外网都能访问
ip route replace scope global default via 192.168.2.1 dev eht1
时4.100能访问web服务器

ip route replace scope global default via 192.168.3.1 dev eht2
时4.101能访问web服务器
       
2。在防火墙上抓包时发现
4.100访问web服务器时，服务器已经接收到请求，但返回包都从eth2返回，所以4.100没有接收到返回包

3。查看路由
ip route get 4.100的结果和4.101的结果是一样的，路由都选择了从eth2走
但查询条件改为ip route get 4.100 dev eth1的结果和ip route get 4.101 dev eth2的结果不一样，
显示的结果为正确的，分别从eth1和eth2走

想问下各个大虾如何解决此问题，为什么有路由但不选择呢？路由选择是怎么样的过程，才接触路由希望大虾们赐教！

[ 本帖最后由 hehao109 于 2006-11-29 11:51 编辑 ]

hehao109

在线等啊，大虾们，都吃饭去了吗，我也先吃饭去了，哈哈，

ssffzz1

因为4.100和4.101是同一个网段,但实际并不在同一物理网段.两种办法:
1 分别为4.100和4.101的两个网段作NAT.
2 分别为4.100和4.101的两个网段作不同的策略路由表.

hehao109

实际环境，2个外网口，一个是电信，一个是网通，可以将4.1和4。100换为5。1和5。100也是不通的

ssffzz1

就是，你把4.101的哪个网络换成192.168.5.X的，另一个不换，配置好路由看看。
我前面说的方法应该可以的。记的那是CISCO一道题的解法。

hehao109

原帖由 ssffzz1 于 2006-11-29 12:15 发表
因为4.100和4.101是同一个网段,但实际并不在同一物理网段.两种办法:
1 分别为4.100和4.101的两个网段作NAT.
2 分别为4.100和4.101的两个网段作不同的策略路由表.

4。100和4。101分别代表电信和网通的一个ip,
方法1和2都需要电信和网通的地址断，这好像可操作性不好，而且我也不可能知道是那个ip来访问web服务器

我现在怀疑是不是双网关的问题，我现在测试上网的结果，好像都只能走一个口出去，为什么不走另一个外网口了，希望能有大牛看看，我的设置是否正确，

billjie1

iptables -t nat -A PREROUTING -i eth2 -p tcp -d 192.168.3.2 --dport 80 -j DNAT --to-destination 192.168.1.101 以上供樓主為參考。不知道對不對？？