[问题求助]iptable过VLAN使用经验探讨 [复制链接]

看.了这篇文章照猫画虎没有成功，有做过的吗？虚拟主机


QUOTE:原帖由 "wt"]在多个vlan的三层交换网.络中实现squid+iptables[/color 发.表：.
的透明代理
在企业中网络常常会有三层交换。它能够有效隔离广播，防止.广播风暴。通过三层交换机划分vlan，使得应用和管理都变得相对容易些。但也给代理.的设置带来一点小麻烦，传统代理要设置代理服务器地址和端口，这对三层交换网络没有什么问题。关键是透明代理中网关的设置，在三层交换的网络中每个vlan的计算机的网关都要设置成所在vlan的网关，如：下表中vlan1的网关.必须是192.16.8.100.1,vlan2的网.关必须是192.168.110.1，像普通网络中把网关都设.置成代理服务器的地址是绝对不行的。所以，三层交换网络中透明代理的设置主要问题集中在三层中心交换机和代理服务器路由的设置，三层交.换机的路由表中要有一条默认路由指向代理服务器，服务器的路由表中要有一个容纳所有vlan的网关。 ..
以下是我的网络说明：
网络内网有15个vlan如路由表所示，代理服务器（squid+iptables）在vlan1中服务器有两块网卡，eth0连接外网ip是A..B.C..D,网关为A.B.C.1。eth1连接内网ip是192.168.100..123/24不设网关。.给服务器加上一条路由，电脑
将192.168.0..0/16,指向vlan1的网关192.168.100.1，r.out.e add -net 192.168.0.0 ne.tmask 255.255.0.0 eth1以保证与其.他vlan.的通信，如此网络部分便配置成功，关于透明代理设.置这里就不说了，请参考其他文章。这样所有的vlan的计算机只要网关和dns配置好就可以上网了，如：vlan3中某台计算机ip设置192.168.120.47,网关为192.168.120.1，dns地址为服务商给的(广州地区ADSL:61.144.56.100)，这样就OK了。其出网的路由为->;192.168.120.47->;192.168.120.1->;.192.168.100.1->;192.168.100.123->;A.B.C.1->;......    外汇

这里.同样有3层.设备，对此在linux做了vlan，如下：           鲜花
#####iptables s.et ##--- 印刷
#!/bin/sh
modpr.obe ip_tables--------------彩票
#modprobe iptable_filt.er.
#modprobe iptable._nat.
echo. 1 >;./proc/sys/net/ipv4/ip_forward           女人
iptabl.es -F INPUT.
iptables -F FORW.ARD电影
iptables -.F -t nat.
iptables .-F POS.TROUTING -t nat.
iptables -P FORWARD D.ROP    健康
ip.tables -A F.ORWARD -s 10.30.29.0/24 -j ACCEPT.
ipt.ables -A FORWARD -s 10.30.32.0/24 -j ACCEPT.学习
iptables -A FORWA.RD. -s 10.30.31.0/24 -j ACCEPT.
i.ptables -A FOR.WARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT           建材
i.pt.ables -t nat -A POSTROUTING -o eth0.3 -s 10.30.31.0/24 -j MASQUERADE            杀毒
iptables -t nat -A POSTROUTING .-o eth0.4 -s 10.30.32.0/24 -j MASQUE.RADE             汽车
iptabl.es -t nat -A POSTROUTIN.G -s 10.30.29.0/24 -o eth0.2 -j MASQUERADE    外汇
#iptables -t nat -A PREROUTING -.i et.h0 -p tcp -s 10.30.29.0/24 --dport 80 -j RED.IRECT --to-port 3228           建材
#iptables -A INPUT -p tcp -i .eth0 --syn. --dport 80 -j ACCEPT投资
#ipt.ables -A INPUT -s ! 10.30.29.8 -p tcp. --dport 80 -j DROP(        游戏          )
#iptables -t nat -A PREROUTING .-i. eth0 -p tcp -s 10.30.29.0/24 --dpor.t 80 -j DNAT --to 10.30.29.8:3228服务器
这些可以满足条件的，.还错在哪里？.

楼主贴上来的东东太多了，没看明白。

能把你的目的说一下么？还有你的网络情况。

在一个多VLAN中单网卡的linux os上实现squid mac代理控制，同时用iptables NAT对各个VLAN中的部分pc作www透明的业务处理；就是类似scoks协议来实现透明传输要求。
LAN环境是,在3层设备下的某个IP（vlan2）可以直接连接到internet，上端的硬件防火墙的ACL允许此IP i/0，其他的2层交换机在不同的VLAN段，现在已经实现squid arp-acl在各个VLAN中的mac控制访问，不知道这样你能明白。
1,vi testnat1
#! /bin/bash
echo 1 >; /proc/sys/net/ipv4/ip_forward
iptables -F -t filter
iptables -F -t nat
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.30.32.0/24 -j MASQUERADE
2, sh testnat1
这个在一段时间（20分钟）左右就失效，不知道何故.

快！来！人！

三层交换机的MAC与squid中的MAC好像不是一样的.
在网上以前有人问过,为什么在三层交换机网络中,SQUID的MAC控制会失效.

问题全部搞定，多vlan mac控制上网，NAT实现各VLAN的业务要求，要点是用2.6以上内核、linux vlan、各vlan中vlan id对应ip在硬件防火墙开通internet访问权限；

szkingrose你终于做了版主了，我很久没来了。
上次你要试验的用户名加MAC控制的代理ACL规则出来没有呀？

差不多了，正在找时间写。