救救快要疯的人！iptables的问题,别说论坛的文章,GOOGLE我都看完了！就是不行

it03

老兄,我今晚有实演了一下,结果还实一样!!!怎么会事


请大家帮助我!!!!我实在太无助了..快要崩溃了!!!!!我看了好几个月都没弄成!!!!对自给都失去信心了!
-



[root@fysh root]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:09:6B:F3:51:BF
          inet addr:192.168.0.253  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3556 errors:0 dropped:0 overruns:0 frame:0
          TX packets:580 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:270642 (264.2 Kb)  TX bytes:47580 (46.4 Kb)
          Interrupt:11 Base address:0x2400 Memory:c0100000-c0100038

eth1      Link encap:Ethernet  HWaddr 00:50:FC:99:14:CF
          inet addr:192.168.0.4  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:174 errors:0 dropped:0 overruns:0 frame:0
          TX packets:177 errors:0 dropped:0 overruns:0 carrier:0
          collisions:4 txqueuelen:100
          RX bytes:102093 (99.7 Kb)  TX bytes:16220 (15.8 Kb)
          Interrupt:9 Base address:0xd000

lo        Link encapocal Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4459 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4459 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:304455 (297.3 Kb)  TX bytes:304455 (297.3 Kb)

ppp0      Link encapoint-to-Point Protocol
          inet addr:10.20.1.115  P-t-P:10.20.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:112 errors:0 dropped:0 overruns:0 frame:0
          TX packets:111 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:95329 (93.0 Kb)  TX bytes:9758 (9.5 Kb)
这是我的几个命令!大家帮忙看看爱.

it03

我把地址该成了192.168.0.3和192.168.0.253
因为我的交换机的地址是192.168.0.10所以我还是用192.168.0.0/24这个地址.其他都没变!!!

zonzi

我觉得在/etc/hosts里因该有192.168.1.2，
如果没有的话，那192.168.1.2应该上不了网

likuku

最简单的！用这个！！eth0是外网卡！192...是内网段！！绝对可用！
要还不行，建议先运行/etc/rc.d/init.d/iptables stop
然后才使用以下脚本！

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MSQUERADE


更完善的参看：
http://www.linuxsir.cn/forum.php?mod=viewthread&tid=10117


我们假定某公司有如下图所示的典型的internet连接方案：

_______
10.0.0.2 | |
|PC | (10.0.0.1)eth1| |eth0(1.2.3.4)
B|___|_ ___________________|防火墙 |---------Internet
(LAN: 10.0.0.0/24) | A |
|_______|


可使用下面的规则集使用iptables的有状态的能力并打开IP伪装功能。

1 modprobe ip_tables
2 echo 1 > /proc/sys/net/ipv4/ip_forward
3 iptables -F INPUT
4 iptables -F FORWARD
5 iptables -F POSTROUTING -t nat

6 iptables -P FORWARD DROP
7 iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
8 iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT
9 iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

10 iptables -A INPUT -p tcp -i eth0 --syn --dport 80 -j ACCEPT
11 iptables -A INPUT -p tcp -i eth0 --syn -j DROP

注：
1. 当使用redhat 的模块化内核时，装入ip_tables模块后，以后的命令将根据需要自行装入需要的模块。
另外注意，如果你装入了ipchains或者ipfwadm模块，则不能再装入iptables模块，可用rmmod命令移走它 们再装入iptables模块。在redhat下，可用ntsysv移走ipchains和iptables标记重启后运行上面的命令。
或者放入/etc/rc.d/rc.local中自动运行。
2. 第二行打开IP转发功能。
3. 第三四五行清除INPUT，FORWARD和POSTROUTING键规则
4. 第六行设置默认转发策略是DROP，当一个包被转发转则应用但不能应用到任何一条转发规则上则应用默认 规则。
5. 第七行转发本网段的机器到任何地方去的包。
6. 第八行利用了有状态的能力，只要是对先前从防火墙外部接口出去的请求包的回复，允许。
ESTABLISHED是指TCP连接，RELATED是指象主动FTP，ICMP ping请求等，当回复包到达时，实际上是检查文 件 /proc/net/ip_conntrack看是否在里面，如果在表中，则不检查任何链，包允许通过。
7. 第九行打开IP伪装能力，从eth0出去的包被重写源地址后伪装出去，是源地址SNAT的特例。这里要注意的是 -o eth0, 而不是 -i eth0，在iptables中，从一个接口出去的包用 -o,进来的包用 -i
8. 第十行说明如果这台防火墙也是WEB服务器，则允许外部的新建立的请求且目标端口为80的包可以进入
9. 第十一行对不是目标端口是80的所求TCP新的连接请求包，拒绝进入。

注： NAT 与 FORWARD 链的关系

a. 不管执行任何NAT，对包过滤规则看到的源和目的地址是真实的源和目的地址，尽管在执行IP伪装(DNAT)时 会对包进行地址重写，这一点你可以从文件
/proc/net/ip_conntrack中看到。
b. 如果我们没有利用iptables的有状态的能力，象上面的情况，要是允许网段
10.0.0.0/24中的机器可以IP伪装的话，我们不得不加上一条转发规则 iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT,否则对伪装包的回复不会通过转发链回复给内部机器，因为回复包需要通过转发链。

注： 如何证明仅仅一个规则链被应用了？

在以前的ipchains中一个包要经过input,forward,output链才能从防火墙送出到
internet,现在使用iptables,仅仅一个链被应用，你可以加入下面的规则测试

iptables -A INPUT -s 10.0.0.2/24 -j DROP

上面的这行在iptables中仅仅是指任何本网段的机器当目标就是防火墙时被拒绝，但绝不影响NAT和转发包，
这在以前的ipchains中是不可能的。

Bomber

最初由 zonzi 发表
我觉得在/etc/hosts里因该有192.168.1.2，
如果没有的话，那192.168.1.2应该上不了网

我觉得没有这个必要吧,倒是说说原因?
因为我没有您说那么做还是一样在用
呵呵~~

Bomber

最初由 it03 发表
老兄,我今晚有实演了一下,结果还实一样!!!怎么会事


请大家帮助我!!!!我实在太无助了..快要崩溃了!!!!!我看了好几个月都没弄成!!!!对自给都失去信心了!
-



[root@fysh root]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:09:6B:F3:51:BF
          inet addr:192.168.0.253  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3556 errors:0 dropped:0 overruns:0 frame:0
          TX packets:580 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:270642 (264.2 Kb)  TX bytes:47580 (46.4 Kb)
          Interrupt:11 Base address:0x2400 Memory:c0100000-c0100038

eth1      Link encap:Ethernet  HWaddr 00:50:FC:99:14:CF
          inet addr:192.168.0.4  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:174 errors:0 dropped:0 overruns:0 frame:0
          TX packets:177 errors:0 dropped:0 overruns:0 carrier:0
          collisions:4 txqueuelen:100
          RX bytes:102093 (99.7 Kb)  TX bytes:16220 (15.8 Kb)
          Interrupt:9 Base address:0xd000

lo        Link encapocal Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:4459 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4459 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:304455 (297.3 Kb)  TX bytes:304455 (297.3 Kb)

ppp0      Link encapoint-to-Point Protocol
          inet addr:10.20.1.115  P-t-P:10.20.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:112 errors:0 dropped:0 overruns:0 frame:0
          TX packets:111 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:95329 (93.0 Kb)  TX bytes:9758 (9.5 Kb)
这是我的几个命令!大家帮忙看看爱.

ppp0的IP怎么会是10网络的??奇怪,呵呵,不过这个应该是没有影响
linux主机可以上网?
用iptables -nv -L
iptables -nv -t nat -L
route -n
把查到的结果贴上来看看

likuku兄的帖子就是考虑到了一些安全方面的问题的吧,对一般的局域网都比较适用
补充一下:OUTPUT链也要做相应设置吧
直接iptables -P OUTPUT ACCEPT
或者做更复杂的控制吧

it03

好的！！！真感谢各位帮助我的人,我今天重装系统+实验各位老兄说的！希望可以成功

it03

[root@fysh root]# . ipt2.rules
[root@fysh root]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       192.168.0.9
ACCEPT     all  --  fysh                 192.168.0.9
ACCEPT     all  --  anywhere             192.168.0.255

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.0/24       anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.0.9          anywhere
ACCEPT     all  --  192.168.0.4          anywhere
[root@fysh root]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:09:6B:F3:51:BF
          inet addr:192.168.0.9  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2503 errors:0 dropped:0 overruns:0 frame:0
          TX packets:402 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:162980 (159.1 Kb)  TX bytes:33072 (32.2 Kb)
          Interrupt:11 Base address:0x2400 Memory:c0100000-c0100038

eth1      Link encap:Ethernet  HWaddr 00:50:FC:99:14:CF
          inet addr:192.168.0.4  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:40 errors:0 dropped:0 overruns:0 frame:0
          TX packets:45 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:6671 (6.5 Kb)  TX bytes:4226 (4.1 Kb)
          Interrupt:9 Base address:0xd000

lo        Link encapocal Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:1305 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1305 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:88738 (86.6 Kb)  TX bytes:88738 (86.6 Kb)

ppp0      Link encapoint-to-Point Protocol
          inet addr:10.20.0.20  P-t-P:10.20.0.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:20 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:4871 (4.7 Kb)  TX bytes:2264 (2.2 Kb)

[root@fysh root]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.20.0.1       *               255.255.255.255 UH    0      0        0 ppp0
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth1
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         10.20.0.1       0.0.0.0         UG    0      0        0 ppp0
[root@fysh root]#

it03

救我,我真的要疯了.这几天天天带病干活呢.唉.让人伤心

it03

我感觉我的iptable应该没问题。一定我那里没设置好。请问大家有什么设置需要注意的么？？两个网卡要不要设掩码网关？

我设了掩码没设网关