论坛风格切换切换到宽版
发帖 回复
返回列表
  • 820阅读
  • 7回复

[问题求助]iptables + 用户访问控制列表的问题 急切请教各位大虾 [复制链接]

 上一主题 下一主题
离线流星悟语.
初中三年级
 
发帖
2005
C币
-235756
威望
360
贡献值
2
银元
-4
铜钱
4376
人人网人气币
0
只看楼主 正序阅读 使用道具 楼主  发表于: 2009-05-01
一台服务器做认证服务器,新安装 Linu.x fodara core3 系统,配置好内外网卡地址.后,可以跟外部网络连接,PING内外网卡地址也能通,但是启用iptables 并加载用户访问控制列表,重新启动.机器后,就PING不通内外网卡地址,但是还能访问外部网络,内网用户有些能上,有些不能上,后来在路由.上做了地址池,并起了NAT,内网网关也设在了路由的eth1上(10.3.0.1),.这样才解决了所有内网用户上网问题,但服务器未关闭并且内外网卡都连接的情况下(内网地址已更改,以免和路由上的内网网关.地址冲突),在路由上通过SHOW ARP .发现ISP分配的外网地址的MAC地址都指向服务器的内网网卡的MAC地址,在使用外网地址的用户服务器上也反复提示网关的MAC地址已从某某地址移到了某某地.址上,一查所移的地址是服务器的内网口地址,而用户此时已然上不了网,而关闭服务器后用户网络就恢复.。--- 印刷

请问大虾们,这种问题.是怎样造成的.,内网部分用户上不了网是否跟MAC地址转移有关?如何解决?多谢!外贸

接入用户数量200户,都是指定静.态地.址,其中五、六家分配公网地址;          婚庆
网.络环境:路由+服务器+核心交换机.+汇聚交换机+接入层交换机到用户教育

服务器rc.local文件中.启动加载内容如下,投资
echo 1 .>; /proc/sys/net/.ipv4/ip_forward              乙肝
echo 65528 >; /proc/sys/net/ip.v4/ip_conntrack_.max(        游戏          )
echo 1 >; /proc/sys/net/ipv4/i.cmp_echo_ignore._all电影
echo "1024" >;/proc/sys/.net/ipv4/neigh/def.ault/gc_thresh1(广告)
echo "2048" >;/pr.oc/sys/net/ipv4/neigh/de.fault/gc_thresh2.
echo "4096" >.;/proc/sys/net/ipv4/neigh/default/gc_thresh3.(        游戏          )
ipt..ables -t nat -A POSTROUTING -s eth0 -j MASQUERADE--- 印刷
/sbin/ifconfig eth0 203.187.187.67 netmask 255..2.55.255.248电影
/sbin/ifconfig. eth1 10..3.0.1 netmask 255.255.0.0           建材
/sbin/route add defa.ult gw 20.3.187.187.65.
/etc/fwstatus(用户访问列表文件.)           婚庆
touc.h /var/lock/subsys./local    美容
modprobe ip_n.at_ftp.
modprobe. ip_conntrack            杀毒

评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线实焕子.
初中三年级
发帖
2015
C币
-263004
威望
352
贡献值
3
银元
-5
铜钱
4354
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
Re:iptables
个人认为2.4的内核比2.6的内核稳定
个人还认为做服务不应该用REDHAT的FC系列
回复
举报
离线天使之星.
初中三年级
发帖
2019
C币
-505456
威望
366
贡献值
4
银元
-2
铜钱
4381
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
Re:iptables
原来重装前用的是RH9.0没有出现过这种问题,换了FC3后就出现了问题。
具体怎样做还请指教
回复
举报
离线h1821388.
初中三年级
发帖
2209
C币
-235179
威望
414
贡献值
1
银元
-6
铜钱
4968
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
Re:iptables
你用2621XM做ROUTE,NAT放到LINUX上面好了
如果你非要用2621做NAT(这个性能很差,大概只能带60个点),而LINUX做路由的话,2621必须针对LAN的地址对LINUX做一条回指路由
回复
举报
离线yingouqlj.
初中三年级
发帖
2158
C币
-139181
威望
397
贡献值
1
银元
0
铜钱
4718
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
Re:iptables
NAT一直是在FC3上面,后来部分上不了网就暂时转到路由器上做了,但是还要切到服务器上的,但一转到服务器上就导致PING不通内外网卡地址,部分用户也上不了网。
路由是华为的2621
原网络环境:一台华为的2621 eth0与ISP相连,eth1接外网交换机的上连口,认证服务器的内外口都接到那个外网交换机上,由那个交换机上两口连接到两台核心交换机上。这两台交换机上由光电转换器接入各用户汇聚层交换机至各接入层交换机及用户。

多谢回帖
回复
举报
离线51.vc.
初中三年级
发帖
2081
C币
-61510
威望
378
贡献值
1
银元
-2
铜钱
4652
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
Re:iptables
我现在不是太明白你的网络拓扑
你是在L3-SWITCH上做的NAT,还是在FC3上面,还是两个都有

另外,你用的是Quidway多少的机器,200个点如果想跑的很好,6503跑NAT还差不多5600和5500就算了,3500就更没戏了
回复
举报
离线wbkjiang.
初中三年级
发帖
2041
C币
-60548
威望
372
贡献值
1
银元
-1
铜钱
4538
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
Re:iptables
啊,是在华为的路由器上做NAT后的命令,应是disp arp
另外rc.local里地址转发应是
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

多谢回帖
回复
举报
离线cg678.
初中三年级
发帖
2019
C币
-60902
威望
330
贡献值
1
银元
-3
铜钱
4493
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
Re:iptables
怎么还有show arp的命令?
你用的到底是FC3还是CISCO
我看的很糊涂
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个