‹‹ 上一主题 | 下一主题 ››
 35 1234
发新话题
打印

[iptables] 各位大虾好,能否帮我解决个很奇怪的iptables问题

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
1楼 发表于 2006-10-14 21:49  只看该作者

各位大虾好,能否帮我解决个很奇怪的iptables问题

我们公司的分公司在另外一个城市,通过祯中继连接到总公司路由器上,分公司内网ip地址为192。168。100。100,网关为192。168。100。254,我在公司防火墙上加了路由route add 192.168.100.0 NETMASK 255.255.255.0 10.10.10.2 后,分公司可以访问总公司内网,也可以访问公司防火墙内网卡IP :10。10。100。10 ,但是访问不了公司外网卡IP地址,所以无法上网,大虾们,能否帮帮我这个菜鸟阿,本人感激不尽!

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
2楼 发表于 2006-10-14 21:52  只看该作者

我们总公司内网10。10。4。X ,10.10.3.X 通过iptables防火墙上网,一切正常

谢谢大哥们,帮我分析一下,指点一下!

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
3楼 发表于 2006-10-14 21:59  只看该作者

我的qq为:357818681,望高手指教小弟阿

我的qq为:357818681,望高手指教小弟阿,或者msn: liu_fucaiwork@hotmail.com

TOP

platinum

人生的转折

开源初中二年级

Rank: 10Rank: 10Rank: 10

帖子
270 
精华
1 
积分
1339 
阅读权限
70 
在线时间
154 小时 
4楼 发表于 2006-10-15 19:28  只看该作者
说的太不详细了,无法帮你
一个人活得精彩
封存于 0612141938(133)

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
5楼 发表于 2006-10-16 13:53  只看该作者

谢谢斑竹的回信

我们总公司linux防火墙网配置是:外网卡ip: 62.68.64.11 ,内网卡ip: 10.10.100.10 ,外网卡连接供应商的外网线,内网卡连接公司路由器,路由器将我们总公司内网分为10。10。3。1,10。10。4。1 ,10。10。8。1等。现在,我用linux做 iptable 防火墙,用NAT 将内网指定IP上网,比如
iptables -t nat -A POSTROUTING -s 10.10.4.10 -o eth0 -j SNAT --to 62.68.64。11 。然后,10。10。4。10就可以通过防火墙上网了。总公司内网通过这个防火墙上网一切正常

现在的问题是:
我们公司的分公司在另外一个城市,通过祯中继连接到总公司路由器上,分公司内网ip地址为192。168。100。100,网关为192。168。100。254,我在公司防火墙上加了路由route add 192.168.100.0 NETMASK 255.255.255.0 10.10.10.2 后,分公司可以访问总公司内网,也就是可以ping  10.10.4.1 或者任何10。10。4。X 也可以访问公司防火墙内网卡eth1 IP :10。10。100。10 .但是,ping不了防火墙外网卡eth0 ip : 62.68.64.11 . 我已经在iptables 里面做了iptables -t nat -A POSTROUTING -s 192.168.100.100  -o eth0 -j SNAT --to 62.68.64。11 . 可是,192。168。100。100 却上不了网,请这位大哥指点指点迷津阿,小弟先谢谢斑竹拉,

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
6楼 发表于 2006-10-16 14:05  只看该作者

错误信息

当我在分公司192。168。100。100 电脑上ping 62。68。64。11 时,错误信息是:reply from 192.168.100.254 destination net unreachable ,但是,我ping 10.10.100.10 时,reply from 10.10.100.10

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
7楼 发表于 2006-10-16 14:11  只看该作者

还有

我的路由加在linux防火墙的内网卡eth1上,在eth1 上加了 10。10。4。1,和10。10。3。1等 同时也在eth1上加了192。168。100。0 ,网关为10。10。10。2 ,

TOP

lqd9698

开源小学三年级

Rank: 5Rank: 5

帖子
70 
精华
0 
积分
287 
阅读权限
30 
性别
男 
在线时间
44 小时 
8楼 发表于 2006-10-16 17:45  只看该作者

回复 #7 linux-peter888 的帖子

你说的好乱啊
你的意思是说,你可以访问总公司的内网的所有的地址吗?
你的防火墙监听的是ETH1,NAT监听的是ETH0对吗?
你的分公司连接的那个口啊?
你在ETH0上面做了NAT对吗
你的FILTER,和NAT表是什么状态啊?
如果都是拒绝的话你要手动在里面添加你需要的允许的IP地址

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
9楼 发表于 2006-10-16 18:03  只看该作者

对阿,

对阿,我们分公司的网络可以访问总公司内网的所有地址
对,我的防火墙监听的是ETH1 ,NAT监听的是eth0
我们分公司连接到我们总公司的路由器10.10.10.2端口
我在eth0上作了NAT

TOP

linux-peter888

开源小学一年级

Rank: 3Rank: 3

帖子
24 
精华
0 
积分
129 
阅读权限
20 
在线时间
8 小时 
10楼 发表于 2006-10-16 18:10  只看该作者

我的iptables

复制内容到剪贴板
代码:
# Generated by iptables-save v1.2.7a on Sun Oct  1 14:58:06 2006
*nat
:PREROUTING ACCEPT [11501:1137255]
:POSTROUTING ACCEPT [3736:228326]
:OUTPUT ACCEPT [525:32406]
[11:484] -A PREROUTING -i eth0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.3.12:80
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --dport 5631 -j DNAT --to-destination 10.10.3.22:5631
[0:0] -A PREROUTING -i eth0 -p udp -m udp --dport 5632 -j DNAT --to-destination 10.10.3.22:5632
[0:0] -A PREROUTING -i eth0 -p tcp -m tcp --sport 5631 -j DNAT --to-destination 10.10.3.22:5631
[0:0] -A PREROUTING -i eth0 -p udp -m udp --sport 5632 -j DNAT --to-destination 10.10.3.22:5632
[37:1480] -A PREROUTING -i eth0 -p tcp -m tcp --sport 80 -j DNAT --to-destination 10.10.3.12:80
[846:41567] -A POSTROUTING -s 10.10.4.10 -o eth0 -j SNAT --to-source 62.68.64.11
[0:0] -A POSTROUTING -s 10.10.3.12 -o eth0 -j SNAT --to-source 62.68.64.11
[0:0] -A POSTROUTING -s 10.10.3.22 -o eth0 -j SNAT --to-source 62.68.64.11
[494:23934] -A POSTROUTING -s 192.168.100.100 -o eth0 -j SNAT --to-source 62.68.64.11
COMMIT
# Completed on Sun Oct  1 14:58:06 2006
# Generated by iptables-save v1.2.7a on Sun Oct  1 14:58:06 2006
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [28610:1940465]
:RH-Lokkit-0-50-INPUT - [0:0]
[29409:2022877] -A INPUT -j RH-Lokkit-0-50-INPUT
[0:0] -A INPUT -i lo -j ACCEPT
[0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT
[0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --sport 5631 -j ACCEPT
[0:0] -A INPUT -p udp -m udp --sport 5632 -j ACCEPT
[0:0] -A INPUT -p tcp -m tcp --sport 53 -j ACCEPT
[0:0] -A INPUT -i ! eth0 -j ACCEPT
[0:0] -A INPUT -i eth0 -p tcp -m tcp --sport 80 -j ACCEPT
[0:0] -A INPUT -i eht0 -p udp -m udp --sport 53 -j ACCEPT
[314738:150239296] -A FORWARD -j RH-Lokkit-0-50-INPUT
[5:365] -A RH-Lokkit-0-50-INPUT -s 10.10.3.11 -p udp -m udp --sport 53 --dport 1025:65535 -j ACCEPT
[668:177742] -A RH-Lokkit-0-50-INPUT -s 62.68.95.11 -p udp -m udp --sport 53 --dport 1025:65535 -j ACCEPT
[1233:350466] -A RH-Lokkit-0-50-INPUT -s 62.68.64.11 -p udp -m udp --sport 53 --dport 1025:65535 -j ACCEPT
[20:960] -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 25 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[5049:242308] -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 80 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[2:96] -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 21 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[14:616] -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 22 --tcp-flags SYN,RST,ACK SYN -j ACCEPT
[0:0] -A RH-Lokkit-0-50-INPUT -i eth0 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT
[0:0] -A RH-Lokkit-0-50-INPUT -i eth1 -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT

TOP

本版最新回复

本版热门主题

‹‹ 上一主题 | 下一主题 ››
 35 1234
发新话题