[问题求助]请教:为什么NAT iptables 不起作用? [复制链接]

我的网络配置如下:
eth0:在内网--192.168..1.1-做DHCP server 和 1.92.168.1.0的gateway.
eth1:外网卡--.-172.21.98.200电影

iptbales -L .-n 如下.
表格：nat

Chain POSTROUT.ING (policy ACCEP.T)学习
target     prot opt source     . .         destination            杀毒
SNAT   .    all  --  192.168.1.0/2.4       anywhere        .   to:172.21.98.200[成人用品]

表格：filter

Chain FORW.ARD (policy .DROP).
target     .prot opt source               .destination学习
ACCEPT     all  --  19.2.168..1.0/24       anywhere学习
ACCEPT     all  --  anywhere  .        .   192.168.1.0/24    健康

测试如下:
ping -I .eth1 172.21.98..253(gateway) ----->通           女人
ping -I eth.0 172.21.98.253(gateway)---.--->不通.
用DHCP server 下的一台主机(192.168...1.100) ping 192.168.1.1 ---->通.
             .                            . ping 172.21.98.200---->通            杀毒
.                                         ping 172.21.98.2.53----->不通--- 印刷

我在想问题是不是出在两张网卡上,因为两张都是realtek芯片.的,据说会产生.只通过其中一张网卡forward的问题.(        游戏          )

[ 本帖最后由 fir.mlyjin 于 2006-.8-12 17:59 编辑 ]学习

QUOTE:原帖由 firmlyjin 于 2006-8-12 17:58 发表
我的网络配置如下:
eth0:在内网--192.168.1.1-做DHCP server 和 192.168.1.0的gateway
eth1:外网卡---172.21.98.200

iptbales -L -n 如下
表格：nat

Chain POSTROUTING (policy ACCEPT)
target     pro ...


你的forward打开了么？cat 来看看……

FORWARD默认是DROP时
ACCEPT     all  --  anywhere             192.168.1.0/24 这个用不着，用这个就成了

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
复制代码.30

cat /proc/sys/net/ipv4/ip_forward 看看是不是1
如果不是，就设置为1: echo "1" > /proc/sys/net/ipv4/ip_forward

QUOTE:测试如下:
ping -I eth1 172.21.98.253(gateway) ----->通
ping -I eth0 172.21.98.253(gateway)------>不通

请问，你的 eth0 网卡上有绑定 172.21.98.253 这个 IP 吗？
这样做不可能通


QUOTE:用DHCP server 下的一台主机(192.168.1.100) ping 192.168.1.1 ---->通
                                          ping 172.21.98.200---->通
                                          ping 172.21.98.253----->不通

网关是 192.168.1.1 吗？
如果网关不是，不可能通


QUOTE:Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  192.168.1.0/24       anywhere
ACCEPT     all  --  anywhere             192.168.1.0/24

你仅允许和自己同段的网络地址经过本机吗？
这样的规则不可能通

确实，FORWARD 没有打开：）谢谢各位高手大哥！

斑竹，eth0上没有绑定172.21.98.253（此IP是我们试验室的网关），为什么就ping不出去呢，-I到底是什么意思呢？我看帮助文档上是interface的意思，那ping -I eth0 172.21.98.253是不是意味着在eth0上ping呢？

ping -I eth0 172.21.98.253
意思是 ping eth0 接口上的 172.21.98.253 这个地址

为什么做了nat之后，ping延时这么大啊？
有什么办法优化吗？

C:\Documents and Settings\Administrator>ping 61.177.7.1

Pinging 61.177.7.1 with 32 bytes of data:

Reply from 61.177.7.1: bytes=32 time=766ms TTL=250
Reply from 61.177.7.1: bytes=32 time=853ms TTL=250
Reply from 61.177.7.1: bytes=32 time=1144ms TTL=250
Reply from 61.177.7.1: bytes=32 time=921ms TTL=250

我这里没有这种情况，不管做路由+NAT还是做那种代理，可能叫单臂路由巴

都没有问题