[问题求助]linux共享上网，内部2个网段不通的问题！ [复制链接]

三块网卡eth0 eth1. eth.2  另外虚拟了一块网卡eth2:0(在eth2上绑定另外一个网段)
et.h0      ip:220.167.224..68.
eth.1      ip:192.168..1.250.
eth2 .     ip:192.168..2.250域名
eth2:0   ip:192.168.3..250服务器
现在内网三个网段都可以共享上网，并且192.168.1..250 网段和192.168.2.250网段的.机子可以互访,问.题出在虚拟的网卡上192.168.3.250网段的机子不能访问其它二个内网网段的机.子，上外网可以。以下是防火墙规则，高手帮忙看一下，问题出在那。<性病>

# Generated by iptables-save v1..3.3 on Sat F.eb 11 12:55:10 2006    外汇
*mangle
:PREROUTING. ACCEPT [5905518929.:3824814927412](广告)
:INPUT ACCEPT [3082.80043:219345633351.]--------------彩票
:FORWARD ACCEPT [55970.34879.:3605423671327][成人用品]
:OUTPU.T ACCEPT [282391.962:218602226885].
:.POSTROUTING ACCEPT [5879585448:38.24025753521]--------------彩票
COMMIT
# Completed on Sat Feb 11 12:5.5:10 2.006.
# Generated by iptables-.save v1.3.3 on Sat. Feb 11 12:55:10 2006学习
*nat
:PREROUTING ACCEPT [42791754:38419.233.08].
:POSTROUTING ACCEP.T [9840096:10269244.44].
:OUTPUT ACCEPT [3692602:22.2.124496]           鲜花
:eth0._masq - [0:0]             汽车
:loc_dnat .- [0:0](        游戏          )
:.net_dnat - [0:0].
-A P.REROUTING -i eth0 .-j net_dnat            鲜花
-A PREROUTING -i .eth1 -j l.oc_dnat     外汇
-A PREROUTING -i eth2 -j loc_dn.a.t 学习
-A POSTROUT.ING -o eth0 -j eth.0_masq <性病>
-A eth0_masq -s 19.2.168.1.0/255.255.255.0 .-j MASQUERADE .
-A eth0_masq -s 192.168.2.0/255..255.255.0 .-j MASQUERADE               乙肝
-A eth0_mas.q -s 192.168.3.0/255.255.255.0 -j MASQUERAD.E .
-A loc_dnat -p tcp -m tcp --dp.ort 80 .-j REDIRECT --to-ports 3128 .
-A .net_dnat -d 220.167.224...68 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.240 服务器
-A net_dnat -d 220.167.224.68 -p t.cp -m tcp --dport .21 -j DNAT --to-de.stination 192.168.1.239 教育
-A net_dnat. -d 220...167.224.68 -p udp -m udp --dport 27015 -j DNAT --to-destination 192.168.1.247              汽车
COMMIT
# Completed on Sat Feb 11. .12:55:10 2006             汽车
# Generated by iptabl.es-save v1.3.3 on Sat Feb 11 12:55:10 2006..
*filter
:AllowICMPs - [.0:0].
:Drop - [0:0]
:DropDNSrep - [.0:0]虚拟主机
:DropSMB. - [0:0]           女人
:DropU.PnP - [0:0]--- 印刷
:INPUT DROP [568:6609.1]          婚庆
:FORWARD DROP [2.142:.290049].
:Ifw - [0:0]
:OUTPUT DROP [1.26:40251].
:Rejec.t - [0:0].
:RejectAuth - .[0:0]虚拟主机
:RejectSM.B - [0:0](广告)
:all.2all - [0:0]服务器
:dropBcast - .[0:0]           女人
:dropInvalid - [0:0.]学习
:dr.opNotSyn - [0:0]            杀毒
:dyna.mic - [0:0]电脑
:eth0_f.wd - [0:0]虚拟主机
:eth0._in - [0:0]投资
:eth1_fw.d - [0:0].
:.eth1_in - [0:0].
:eth2_fwd - [0:0]..
:eth2_in - [0:0.]    健康
:fw2loc .- [0:0](广告)
:fw.2net - [0:0].
:lo.c2fw - [0:0]虚拟主机
:loc2n.et - [0:0]--- 印刷
:net2all - [0:.0]--- 印刷
:net2fw. - [0:0]            杀毒
:net2loc - [.0:0]--- 印刷
:.reject - [0:0].
:shorewall - [0.:0].
:.smurfs - [0:0].
-A AllowICMPs -p icmp. -m icmp --icmp-type 3/4 -j .ACCEPT .
-A AllowICMPs -p icmp -m icmp --icmp-ty.p.e 11 -j ACCEPT            鲜花
-A Drop -j RejectAut.h .
-A Drop. -j dropBcast              汽车
-A Drop -p i.c.mp -j AllowICMPs               乙肝
-A Drop -j dropI.nvalid .
-A Drop -j Dro.pSMB --- 印刷
-A. Drop -j DropUPnP 电影
-A Dr.o.p -p tcp -j dropNotSyn 外贸
-A .Drop -j DropDNSrep .
-A DropDNSrep -p udp -m udp --sport 5.3. -j DROP     健康
-A DropSMB -p. udp -m udp --dport 13.5 -j DROP 投资
-A D.ropSMB -p udp -m udp --dport 137:1.39 -j DROP [成人用品]
-A Drop.SMB -p udp -m udp --dport 445 -j DROP. (        游戏          )
-A DropSMB -p tcp -m tcp --dp.ort 135 -j DROP ..
-A DropSMB -p tcp .-m tcp -.-dport 139 -j DROP            建材
-A DropSMB -p tcp -m tcp. --dport 44.5 -j DROP --- 印刷
-A DropUPnP -p udp -m udp --dpor.t 1900 -j .DROP .
-A INPUT -i lo .-j ACCEPT [成人用品]
-A INPUT -j Ifw. .
-A .INPUT -i eth0 -j eth.0_in 电脑
-A. INPUT -i eth1 -j. eth1_in           婚庆
-A INPUT -i eth2 -.j e.th2_in --------------彩票
-A INPUT -j Reject.               乙肝
-A INPUT -j LO.G --log-prefix "Shorewall:INPUT:REJECT:" --log-level 6.     外汇
-A INPUT .-j reject            女人
-A FORWARD .-i et.h0 -j eth0_fwd 健康
-A FO.RWARD -i eth1 -j eth1_fw.d .
-A FORWARD -i eth2 -j e.th2_fw.d <性病>
-A .FORWARD -j Reject 服务器
-A FORWARD -j LOG --log-prefix "Sho.rewall:FORWARD:REJECT:" --l.og-level 6              汽车
-A FOR.WARD -j reject .
-A .Ifw -m set --set ifw_wl src -j R.ETURN           婚庆
-A Ifw -m set --set ifw_bl sr.c -j. DROP              电子
-A Ifw -m state --state INVALID,NEW -m psd --psd-weigh.t-threshold 10 -.-psd-.delay-th.reshold 10000 --psd-lo-ports-weight 1 --psd-hi-ports-weight 2 -j IFWLOG --log-prefix "SCAN"学习
-.A OUTP.UT -o lo -j ACCEPT 健康
-A OUTPUT -o eth.0 -j fw2ne.t              汽车
-A OUTPUT -o .eth1. -j fw2loc              电子
-A OUTPUT -o .et.h2 -j fw2loc .
-A OUTPUT -j Rejec.t --- 印刷
-A OUTPUT -j LOG --log-prefix "Shorewall:OUTPUT:REJ..ECT:" --log-level 6 .
-A OUTPUT. -j reject 学习
-A Reject -j RejectAuth.            建材
-A Reject -j dro.pBcast 虚拟主机
-.A Reject -p icmp -j AllowICMPs. .
-A Reject -j dropInvali.d .
-A Reject. -j RejectSMB 域名
-A Reject -j .DropUPnP            建材
-A Reject. .-p tcp -j dropNotSyn .
-A R.eject -j DropDNSrep 域名
-A RejectAuth .-p tc.p -m tcp --dport 113 -j reject              电子
-A RejectSMB -p udp -m u.dp --dport 135 -j re.ject .
-A RejectSMB -p .udp -m udp --dport 137:139 -j reje.ct             杀毒
-A RejectSMB -p udp -m udp --d.port 445 -j. reject 健康
-A RejectSMB -p tcp -.m tcp --.dport 135 -j reject .
-A RejectSMB -p tcp -m tc.p -.-dport 139 -j reject .
-A RejectS.MB -p tcp -m tcp --dport 445 -j r.eject <性病>
-A all2al.l -m state --state RELATED,ES.TABLISHED -j ACCEPT 教育
-A all2all. -j Reject     美容
-A all2al.l -j LOG. --log-prefix "Shorewall:all2all:REJECT:" --log-level 6 .
-A all2al.l -j reject .
-A dropBcast -m pktt.ype --pkt-type b.roadcast -j DROP 域名
-A dropBcast -m pkttype --.pkt-type multica.st -j DROP 投资
-A d.ropInvalid -m state --state INVALI.D -j DROP 教育
-A. dropNotSyn -p tcp -m .tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j DROP            女人
-A eth0_fw.d -m state --state INVA.LID,NEW -j dynamic              电子
-A eth0_f.wd -o eth1 -j net2l.oc --- 印刷
-A eth0_fwd -o eth2 -j n..et2loc .
-A. eth0_in -m stat.e --state INVALID,NEW -j dynamic .
-A et.h0_in -j net2fw     健康
-A .eth1_fwd -m state. --state INVALID,NEW -j dynamic .
-A eth1_fw.d -o eth0 -j lo.c2net 虚拟主机
-A eth1._fwd -.o eth2 -j ACCEPT 电脑
-A .eth1_in -m state --state INVALID,NEW -j dyn.amic (广告)
-A eth.1_in -j loc2fw            女人
-.A eth2_fwd -m state --state INVALID,NEW .-j dynamic             杀毒
-A eth2._f.wd -o eth0 -j loc2net .
-A eth.2_fwd -o eth1 .-j ACCEPT .
-A. eth2_in -m state --state INVALID,NEW -.j dynamic .
-A eth2_in -j loc2fw.              电子
-A fw2loc -m s.tate --state RELATED,ESTABLISHED -j ACCEPT. .
-A fw2loc -.j ACCEPT .
-A fw2net -m state --state REL.ATED,ESTABLISHED -j AC.CEPT 服务器
-A. fw2net -j ACCEPT               乙肝
-A loc2fw -m state --state R.ELATED,ESTABLI.SHED -j ACCEPT 服务器
-A loc2fw -p tcp -m. tcp --.dport 3128 -j ACCEPT (        游戏          )
-A l.oc2fw -j ACCEPT               乙肝
-.A loc2net -m state --state RELATED.,ESTABLISHED -j ACCEPT 虚拟主机
-A loc2n.et -j ACCEPT              汽车
-A n.et2all -m state --state RELATED,ESTABLISHED -j ACCEP.T .
-.A net2all -j Drop 外贸
-A net2all -j LOG .--log-prefix "Sho.rewall:net2all:DROP:" --log-level 6 .
-A net2all -j .DROP 投资
-A net2fw -m.. state --state RELATED,ESTABLISHED -j ACCEPT
-A net2fw -p udp -m udp. --dpo.rt 27015:27019 -j ACCEPT 教育
-A net2fw -p tcp -m multiport --dports 80,443,20,21,.10000 -j. ACCEPT            女人
-A net2fw -j net2all. --- 印刷
-A net2loc -m state --state RELATED,ESTABLISHED -j. ACCEPT.     外汇
-A .net2loc -d 192.168.1.240 -p. tcp -m tcp --dport 80 -m conntrack --c.torigdst 220.167.224.68 -j ACCEPT [成人用品]
-A net2loc .-d 192.168.1.239 -p tcp -m tcp --dpor.t 21 -m conntrack --ctorigdst 22.0.167.224.68 -j ACCEPT .
-A net2loc .-d 192.168.1.247 -p udp -m udp --dport 27015 -m co.nntrack --ctorigds.t 220.167.224.68 -j ACCEPT 教育
-A net2lo.c -j net2all <性病>
-A reject -m pkttype --pkt-type broadcast. -j DROP .电脑
-A reject -.m pkttype --pkt-t.ype multicast -j DROP 学习
-.A .reject -s 220.167.224.71 -j DROP .
-A reject -s 192.168.1.255 .-j D.ROP .
-A r.eject -s 192.168.2.25.5 -j DROP 域名
-A reje.ct -s 192..168.3.255 -j DROP            女人
-.A reject -s 255.255.255.255. -j DROP .
-A reject -s 224..0.0.0/240.0.0.0 -j DRO.P     外汇
-A reject. -p tcp -j REJECT --rejec.t-with tcp-reset <性病>
-A reject. -p .udp -j REJECT --reject-with icmp-port-unreachable 外贸
-A reject -p icmp -j REJEC.T --reject-with icm.p-host-unreachable 学习
-A reject -j REJECT --reject-with .icmp-host-prohibit.ed              汽车
-A smurfs -s 220.167.224.71 -j. LOG --log-prefix "Shorewa.ll:smurfs:DROP:" --log-leve.l 6 .
-A smurfs -s 2.20.167.224.71 -j DROP. 教育
-A smurfs -s 192.168.1.255 -j LOG --log-prefix "Shorewa.ll:smur.fs:DROP:" --log-level 6. .
-A smurfs -s 192.16.8.1..255 -j DROP .
-A smurfs -s 192.168.2.255 -j LOG --log-prefix "Shor.ewall:s.murfs:DROP:" --log-.level 6 投资
-A smur.fs -s 192.168.2..255 -j DROP .
-A smurfs -s 192.168.3.255 -j LOG --log-pr.efix ."Shorewall:smurfs.:DROP:" --log-level 6 投资
-A smurf.s -s .192.168.3.255 -j DROP .
-A smurfs -s 255.255.25.5.255 -j LOG --log-prefix "Shorewa.ll:smurfs:DR.OP:" --log-level 6     外汇
-A sm.urfs -s 255.255.25.5.255 -j DROP .
-A smurfs -s 224.0.0.0/240.0.0.0 -.j L.OG --log-prefix. "Shorewall:smurfs:DROP:" --log-level 6 电脑
-A smurfs -s 224.0.0.0/240.0.0.0 -j D..ROP .
COMMIT
# Complete.d on S.at Feb 11 12:55:10 2006健康

[ 本帖最后由 foxnice 于 .2006-2-11 13:21 .编辑 ].

偶估计是路由的问题。

关了防火墙内部三个网段就可以互访了,但是三个网段也同时都上不成外网了。

[ 本帖最后由 foxnice 于 2006-2-11 13:32 编辑 ]

QUOTE:原帖由 ipaddr 于 2006-2-11 13:21 发表
偶估计是路由的问题。

一定帮忙呀，这个问题困扰了我很久了。不可能加一个网段就加一块网卡呀。
route后显示
220.167.224.68 *               255.255.255.255 UH    0      0        0 eth0  
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.2.0     *               255.255.255.0   U     0      0        0 eth2
192.168.3.0     *               255.255.255.0   U     0      0        0 eth2
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         220.167.224.66 0.0.0.0         UG    0      0        0 eth0

我把webmin 帐户告你，你帮我看一下好吗？

[ 本帖最后由 foxnice 于 2006-2-11 13:55 编辑 ]

QUOTE:原帖由 foxnice 于 2006-2-11 13:25 发表
关了防火墙内部三个网段就可以互访了,但是三个网段也同时都上不成外网了。




应该就是iptables的关系，你的iptables配置里面,没有eth2:0的相关设置，所以被drop了。

那iptables要怎么配啊？大哥详细点说明一下啊。

QUOTE:原帖由 foxnice 于 2006-2-12 10:12 发表
那iptables要怎么配啊？大哥详细点说明一下啊。




你先试试这个
iptables -t filter -I FORWARD -i eth2:0 -o eth1 -j ACCEPT
iptables -t filter -I FORWARD -i eth2:0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
如果执行之后，192.168.3.0网段的能访问192.168.1.0网段的了，那就说明我的判断没错。

如果能行，那么，简单一点就是加这几条：
ptables -t filter -I FORWARD -i eth2:0 -d 192.168.0.0/16 -j ACCEPT
iptables -t filter -I FORWARD -i eth2:0 -d 192.168.0.0/16 -m state --state RELATED,ESTABLISHED -j ACCEPT
这样192.168.3.0网段的就可以访问其他几个网段的了，
如果要想严格和规范些，那就把你的原配置里的关于eth2的所有相关命令复制一遍，再把
eth2改为eth2:0就行了，
你先试试看吧！

建议操作之前先把原配置备份。

以这这个贴子被删了，原来被移到这儿来了。