[问题求助]FC6的iptables问题 [复制链接]

我.觉得FC6有问题，我的FC5怎样都可以转发，但FC6重启后，.手工配置又不行了，如下：          婚庆
[root@cicm-design ~]# .iptables -t na.t -L -n -v             汽车
Chain PREROUTING (policy ACCEPT 61 .packets, .12677 bytes)--------------彩票
pkts bytes target  .   prot opt .in     out     source              . destination           鲜花
    0     0 DNAT      . udp  --  *      *       0.0.0.0/0.            47.154.129.34       udp dpt:20002 to:17.2.16.2.145:5000电影

C.hain POSTROUTING (policy AC.CEPT 2 packets, 113 bytes).
pkts bytes target     .pro.t opt in     out  .   source               destination             电子
    0     0 SNAT       udp  --  *      *       47.154.224.0./21      172..16.2.145    .    udp dpt:5000 to:10.200.6.20

Chain OUTPUT (policy AC.CEPT 2 .packets, 113 bytes)          婚庆
pkts bytes target    . .prot opt in     out     source               dest.ination.

规则没有问.题吧.，但就是看不到一个报文进来，最开始.我配置了，还能看到PREROUTING侧有报文，但POSTROUTING没有，我刷 了之后又重配，结果都没有了，    美容
郁闷，FC5怎么.不出现这个问题呢？健康
我.的sysctl.conf如下：           建材
# sysctl..conf(5) for .more details.           女人

# Contr.ols IP .packet forwarding           建材
net.ipv4.ip_f.orward = 1

# Controls so.urce route verifica.tion电影
n.et.ipv4.conf.def.ault.rp_filter = 1健康

# Do. not. accept source routing    美容
net.ipv4.conf.default.accept_source._rout.e = 0外贸

# .Controls the System Request debugging functionality of the .kernel.
kern.el.sysrq = 0.

# C.ontrols w.hether core dumps will append the PID to the core filename.虚拟主机
# U.seful for debugging multi-thr.eaded applications.    外汇
ker.nel.core_uses_pid = 1.

# Controls. the use of TC.P syncookies--------------彩票
net.i.pv4.tcp._syncookies = 1.

net.ipv4.netfilter.ip._conntrack_udp_timeout_st.ream = 1800服务器
net.ipv4..netfilter.ip_conntrack_udp_tim.eout = 1800    健康

这是我tc.pdump -i eth0 port 2.0002端口的数据，可以看到数据报文已经收到：--------------彩票
04:20:50.030227 IP 47.154.224.64.6000 > 47.154.129.34.commtact-http: UDP, length 13(广告)
04:20:51.499433 IP 47.154.224.64.6000 > 47.154.129.34.commtact-http: UDP, length 13服务器
04:20:51.717909 IP 47.154.64.147.rfe > 47.154.129.34.commtact-http: UDP, length 13.
04:20:52.210573 IP 47.154.64.147.rfe > 47.154.129.34.commtact-http: UDP, length 13           建材
04:20:52.710480 IP 47.154.64.147.rfe > 47.154.129.34.commtact-http: UDP, length 13           鲜花
04:20:53.033509 IP 47.154.224.64.6000 > 47.154.129.34.commtact-http: UDP, length 13(广告)
04:20:53.210388 IP 47.154.64.147.rfe > 47.154.129.34.commtact-http: UDP, length 13教育
04:20:53.710422 IP 47.154.64.147.rfe > 47.154.129.34.commtact-http: UDP, length 13外贸
但.不知道怎么回事？高手给解解，.我也执行了modprobe iptables    外汇
新进展，能看到PREROUTING有报.文了（我之.前那个发送的程序ip错了，所以没有），但是没有转发呀：           鲜花
[root@cicm-design ~]# iptables -t nat -.L -v .-n             汽车
Chain PREROUTING (policy. ACCEPT 101 packets, 18.779 bytes)学习
pkts bytes target     prot opt in     .out .    source               destination..
   14   574 DNAT       udp . --  *      *       0.0.0.0/0            47.154..129.34       udp dpt:2.0002 to:172.16.2.145:5000.

Chai.n POSTROUTING (policy ACCEPT 2. packets, 113 bytes)电脑
pkts. bytes target     prot opt in   .  out     source          .     destination.
    0     0 SNAT       udp  --  *      *       47..154.224.0/21      172.16.2.145        udp dpt:5000. to:10.200..6.20            杀毒

Chain OUTPUT .(policy ACCEPT 2 packets, 113 bytes.)[成人用品]
pk..ts bytes target   .  prot opt in     out     source               destination              乙肝

查询转发配置如下：
[root@.cicm-design ~]# cat /proc/sys/net/ipv4/ip._forward<性病>
1

[ 本帖最后由 UnixZC 于. 2006-11-26 20:31. 编辑 ]教育

post "iptables-save" 結果

--

post 我的iptables-save:
# Generated by iptables-save v1.3.5 on Mon Nov 27 18:10:14 2006
*nat
REROUTING ACCEPT [1519:292132]
OSTROUTING ACCEPT [5:298]
:OUTPUT ACCEPT [5:298]
-A PREROUTING -d 47.154.129.34 -p udp -m udp --dport 20002 -j DNAT --to-destination 172.16.2.145:5000
-A POSTROUTING -s 47.154.0.0/255.255.0.0 -d 172.16.2.145 -p udp -m udp --dport 5000 -j SNAT --to-source 10.200.6.20
COMMIT
# Completed on Mon Nov 27 18:10:14 2006
# Generated by iptables-save v1.3.5 on Mon Nov 27 18:10:14 2006
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [43796:6104397]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p esp -j ACCEPT
-A RH-Firewall-1-INPUT -p ah -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 20002 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 20000 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 20002 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 20000 -j ACCEPT
COMMIT
# Completed on Mon Nov 27 18:10:14 2006

QUOTE:Chain POSTROUTING (policy ACCEPT 2 packets, 113 bytes)
pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       udp  --  *      *       47.154.224.0/21      172.16.2.145        udp dpt:5000 to:10.200.6.20

Do you know what you are doing ?!

Is some wrong with it? If you know, pls tell me.

QUOTE:原帖由 UnixZC 于 2006-11-27 10:10 发表
post 我的iptables-save:
...


你的 rule 都与 redhat 提供原本的 firewall rule 混在一起，你是否应该好好考虑先把 rule 清空后才加上你的规则才不会互相影响。

--

QUOTE:原帖由 kenduest 于 2006-11-27 13:54 发表


你的 rule 都与 redhat 提供原本的 firewall rule 混在一起，你是否应该好好考虑先把 rule 清空后才加上你的规则才不会互相影响。

--

老大，不太明白，本人也是头一次玩，还不很清楚，你的意思是将redhat本身的rules都先清掉？然后再加我自己的？有这个必要吗?还有我在自家的FC5上怎么是好好的呢?感觉很奇怪!

ok, 我把filter全清掉,重新配置了一下但没有加filter,又ok,但我觉得还是跟filter没有关系,还有一个问题怎样延长udp的映射,过了一阵子就断了,我需要iptables把这种映射保持长一些,我修改了ip_conntrack_udp_timeout也不行的,还有其他什么办法吗?

QUOTE:原帖由 UnixZC 于 2006-11-27 16:20 发表
ok, 我把filter全清掉,重新配置了一下但没有加filter,又ok,但我觉得还是跟filter没有关系


關係可大了

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT
复制代码

redhat 把 FORWARD chain 配置使用與 INPUT 相同的 rule, 而你上面張貼的 INPUT chain 部分整個來看並沒有允許 FORWARD 到目的為 port 5000 的項目.



QUOTE:还有一个问题怎样延长udp的映射,过了一阵子就断了,我需要iptables把这种映射保持长一些,我修改了ip_conntrack_udp_timeou ...

# sysctl -a | grep "ip_conntrack_udp"

net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180

net.ipv4.netfilter.ip_conntrack_udp_timeout = 30
复制代码

試著調整測試

--

QUOTE:原帖由 kenduest 于 2006-11-28 15:11 发表


關係可大了

-A INPUT -j RH-Firewall-1-INPUT

-A FORWARD -j RH-Firewall-1-INPUT
复制代码

redhat 把 FORWARD chain 配置使用與 INPUT 相同的 rule, 而你上面張貼的 INPUT chain 部分整個來看 ...

ok,谢谢，明白。还有conntrack_udp_timeout参数的时间单位是秒吗？修改完后需要重启吗？2个值都是越大时间越长吗？
再次感谢。