环境:
adsl拨号上网,一台双网卡机器安装gentoo linux,防火墙为sh.orewall(调用iptables),由linux拨号出去,内部网络有50台机器windows,全部通过linux上网,没有设置什么特别的策略,基本就是设定成一个nat了,局域网内的windows全部制定好IP和DNS服务器,N.AT.自身不提供任何域名解析和.dhcp服务,现在出现了以下的.古怪问题:.
大部分站点,内部网络的机器都能.正常访问,但是有个别站点(非小站,都是大站),无法访问,表现情况如下——输入地址后,浏览器状态栏闪过正在连接站点IP地址,然后到“已.经找到网站.,等待回应”处卡住了,浏览器即不出现提示,而状态显示没有数据流入,反正就.整个一个空白版面卡在那里,没有反应了……就这样一个古怪情况.
目前统计的无法访问的站点有淘宝,天涯,.sina,pchom.e,cnbeta等,全部是一样的症状 外汇
我试图查找原因,于是做了以下尝试,首先,NAT机和客户机ping DNS,外部网络,都是通的,ping那些不能访问的站点的域名,能解.析出I.P,也能ping通,在客户机上用tra.cert命令跟踪不能访问的站点的域名和IP,也是通的,如下所示意 健康
C:\Documents and Settings\xwus.er>trac.ert
www.sina.com.cn电脑
Traci.ng route to jupiter.s.ina.com.cn [61.172.201.194]域名
over a maximum. of 30 .hops:域名
1 <1 ms <1 ms. <1 .ms 192.168.0.1--- 印刷
2 .* . * * Request timed out. 电子
3 25 ms 20 ms 24 ms 58..49.2..81 建材
4 62 ms 52 .ms 4.8 ms 221.232.254.129.
5 . 33 ms 36 ms . 41 ms 221.232.254.117域名
6 223 ms 212 ms 135 ms . 6.1.152.80.149 汽车
7 290 ms 408 ms 131 ms 61.152.87...122.
8 64 m.s 75 ms 82 ms 222.72..243.250 乙肝
9 213 ms .264 ms. 370 ms 61.172.201.194 建材
Trace complet.e.服务器
复制代码
PS:第二步那个 Request timed out,在追踪可以.访问的站点.时也出现这情况虚拟主机
然.后我又做了两件事情,.我把ads.l从linux下拆下来,随便插在一台windows客户机上拨号上网,上述不能访问的地址,都可以正常访问了,随后,我又把原.来那个dlink 604+的路由器拿来(本来这个linux就是要取代这个路由器的),按照以前做的那个接好,windows客户机都不改变任何设置,那些不.能访问的网站都能访问。(所以我基本能确定windows客户机的DNS设置没有任何问题) 美容
随后.我想到了telent和用IP访问,结果让我发现了一件奇怪的事情,.[成人用品]
在windows客户端下telent任何一个网站的80口,无论是能不能访问的站点,telent上去以后出现.一个黑色版面,不.显示任何东西,过一会又跳回到命令行起始.位置。 美容
而如果用IP去访问.站点的.话,则出现,无论什么站点,都访问不了,提示如下外贸
错误
您所请求的网址.(URL)无法获取健康
-------.-------------.------------------------------------------------------.------健康
当尝试读取以下网址(URL)时:
http://220.181.28.206/ 健康
发生了下列的错误:
Access Denie.d. .
拒绝访问
Acce.ss control configuration prevents you.r reques.t from being allowed at this time. Please co.ntact your service provider if you feel this is incorrect.
当前的存取控制设定禁止.您的请求被接受,如果您觉得这是错误的,请与您网.路服务的提供者联系。 电子
本.缓存服务器管理员:webmaster .
--------.--.---------------------------------------------------------.------------- 婚庆
Generated Th.u, 16 Aug 2007 04:50:33 GMT by [url].ww.w.163.com[/url] (cache/2.001+logs) 教育
复制代码
如同上面这样的情况。
这到底是怎么回事,我就想不明白,请高手指点这为何有的网站能访问,有的..网站不能访问的古怪问题…… 杀毒
另外附上我用iptables -L -n命令看到.的shorewall调用的i.ptables策略 婚庆
C.hain INPUT (policy DROP) 健康
targe.t prot opt source . destination 乙肝
L.OG a.ll -- 0.0.0..0/0 0.0.0.0/0 LOG flags 0 level 7 prefix `BANDWIDTH_IN:'.
ACCEPT al.l -- 0.0.0..0/0 0.0.0.0/0 乙肝
p.pp0_in all -- 0.0..0.0/0 0.0.0.0/0 汽车
eth0._in all. -- 0.0.0.0/0 0.0.0.0/0.
Reject all -- 0..0.0.0/.0 0.0.0.0/0健康
reject a.ll -- 0.0.0.0/0 . 0.0.0.0/0外贸
Chain FORWARD. (p.olicy DROP) 建材
target p.rot opt source destin.ation.
L.OG all -- 0.0.0.0/0 . 0.0.0.0/0 LOG flags 0 leve.l 7 prefix `BANDWIDTH_OUT:'虚拟主机
LOG all -- 0.0.0.0/0 . 0.0.0.0/0 LOG flags 0 level 7 prefi.x `BANDWIDTH._IN:'.
ppp0_fwd all -- 0.0.0..0/.0 0.0.0.0/0.
eth0_f.wd all -- 0.0.0.0/0 0.0.0.0/0. 乙肝
Reject all .-- 0.0.0.0/0 0..0.0.0/0服务器
reject all. -- 0.0.0.0/0 . 0.0.0.0/0--- 印刷
Chai.n OUTP.UT (policy DROP) 女人
target prot opt source .. destination电影
LOG . all . -- 0.0.0.0/0 0.0.0.0/0 .LOG flags 0 level 7 prefix `BANDWIDTH_OUT:' 电子
ACCEPT all -- 0.0.0.0/0 . 0.0..0.0/0.
fw2.all all -- 0.0.0.0/0 0.0.0.0/0 policy match.. dir out pol none--------------彩票
fw2lan all -- 0.0.0.0/0 0.0.0.0/0 . poli.cy match dir out .pol none外贸
ACCEPT all -- 0.0.0.0/.0 0..0.0.0/0 外汇
Chain D.rop (1 references) 杀毒
target prot opt sourc.e destinat.ion.
rejec.t tcp -- 0.0..0.0/0 0.0.0.0/0 tcp dpt:113--- 印刷
dropBcast all -- 0.0.0.0/0 . . 0.0.0.0/0教育
ACCEPT icmp -- 0..0.0.0/0 0.0.0.0/0 . icmp type 3 c.ode 4.
ACCEPT icmp -- 0.0.0.0/0 . 0.0.0.0/0 .icmp type 11 美容
dropInvalid a.ll -- 0.0.0.0/0 0.0.0.0/0..
DROP u.dp -- 0.0.0.0/0 0..0.0.0/0 .multiport dports 135,445域名
DROP udp -- 0.0.0.0/0 0.0.0.0/0 .. udp dp.ts:137:139(广告)
DROP udp -- 0.0.0.0/.0 0..0.0.0/0 udp sp.t:137 dpts:1024:65535 女人
DROP tcp -- 0.0.0.0/0 0.0.0.0/0 m..ultiport dports 135,139,.445<性病>
DROP udp -- 0.0.0.0/0 0..0.0.0/0 udp dpt:19.00.
dropNotSyn tcp -- 0.0.0.0/0 . 0.0.0..0/0.
DROP udp -- 0.0.0.0/0 . 0.0.0.0/0 udp .spt:53--- 印刷
Chain Rejec.t (.3 references)<性病>
ta..rget prot opt source destination 女人
r.eject tcp -- 0.0.0.0/0 0.0.0.0/0 tcp .dpt:113( 游戏 )
dropBcast all .-- 0.0.0.0/0 0.0.0.0/0..
ACCEPT i.cmp -- 0.0.0.0/0 0.0.0.0/.0 icmp type 3 .code 4
ACCEPT icmp -- 0.0.0.0/0 . . 0.0.0.0/0 icmp type 11 电子
dropInvalid all -- . 0.0.0.0/0 0.0..0.0/0.
reject udp -- 0.0.0.0/0 0.0.0.0/0 . multipor..t dports 135,445服务器
rejec.t udp -- 0.0.0.0/0 0.0.0.0/0 . udp dpts:137:1.39 女人
reject udp -- ..0.0.0.0/0 . 0.0.0.0/0 udp spt:137 dpts:1024:65535.
reject tcp -- 0.0.0.0/0 . 0.0..0.0/0 mul.tiport dports 135,139,445 婚庆
DROP udp -- 0.0.0..0/0. 0.0.0.0/0 udp dpt:1900 建材
d.ropNotSyn tcp -- 0.0.0.0/0 . 0.0.0.0/0.
DROP udp -- 0.0.0.0/0 . 0.0.0.0/0 . udp spt:53<性病>
Ch.ain. all2all (0 references) 乙肝
target prot opt source . destin.ation.
ACCEPT all -- 0.0.0.0/0 0..0..0.0/0 state RELATED.,ESTABLISHED( 游戏 )
Reject all --. 0.0..0.0/0 0.0.0.0/0 外汇
reject all -- 0.0.0.0/0 .0.0.0.0/0..
Chain dropBcast. (2 referen.ces).
targ.et prot opt source de.stination[成人用品]
DRO.P all -- 0.0.0.0/0 0.0..0.0/0 PKTTYPE = broa.dcast 健康
DROP all -- 0.0.0.0/0 ... 0.0.0.0/0 PKTTYPE = multicast<性病>
Chain dropInva.lid (2 r.eferences) 美容
target prot opt source . de.stination外贸
DROP all --. 0.0.0.0/0 0.0.0.0/0. state INVALID--------------彩票
Chain dropNotSyn (2. re.ferences)教育
target p.rot opt source . destination 美容
DROP tcp -- 0.0.0.0/0 0.0.0..0/0 tcp. flags:!0x17/0x02. 健康
C.hain dynamic (4. references)服务器
target . prot opt source . destination.
Chain .eth0_fwd (1 refere.nces).
target prot opt source . . destination 健康
dynamic all -- 0..0.0.0./0 0.0.0.0/0 . state INVALID,NEW 电子
lan2all . all .-- 0.0.0.0/0 0.0.0.0/0 . policy match dir out pol none服务器
Chain eth0_i.n (1 re.ferences).
target pro.t opt. source destination电影
dynamic a.ll -- .0.0.0.0/0 . 0.0.0.0/0 state INVALID,NEW.
lan2all all -- 0.0.0.0/0 0.0.0.0/0 . policy match .dir in pol no.ne.
Chain fw2.all (2 referen.ces) 女人
target prot opt. source destinat.ion 汽车
ACCEPT al.l -- 0.0.0.0/0 0.0.0.0/0 . state RELATED,ESTABLIS.HED.
ACCEPT .all -- 0.0.0.0/0 . 0.0.0.0/0服务器
Chain fw2lan (1 .refe.rences)学习
target prot. opt sourc.e destination电影
ACCEPT all -- 0.0.0.0/.0 0.0.0.0/0 . .state RELATED,ESTABLISHED(广告)
ACCEPT tcp -- 0.0.0.0/0 192.168.0.12.9 . tcp dpt:14672外贸
ACCEPT udp -- 0.0.0.0/0 . 192.168.0.129 . udp dpt:14672.
fw2all all -- 0.0.0.0/0 . 0.0..0.0/0电影
Chain lan.2all. (2 references) 健康
t.arget prot opt source . destination 女人
ACCEPT all -- 0.0.0.0/0 . . 0.0.0.0/0 .state RELATED,ESTABLISHED健康
ACCEPT all -.- 0..0.0.0/0 0.0.0.0/0 建材
Chain logdro.p (0. references) 汽车
target pro.t. opt source destination电脑
L.OG . all -- 0.0.0.0/.0 0.0.0.0/0 LOG flags 0 level 6 prefix `Shorewall:logdrop:DROP:' 杀毒
DR.OP all .-- 0.0.0.0/0 0.0.0.0/0<性病>
Chain logrejec.t (0 references.) 电子
targe.t prot opt source . destination.
LOG all -- 0..0.0.0/0 0.0.0.0/0 . LOG flags 0 level 6 prefix `Shore.wall:logreject:REJECT:' 婚庆
reject a.ll -- 0.0.0.0/0 . 0.0.0.0/0.
Chain net2a.ll (2 .references)电脑
target .prot opt .source destination健康
ACCEPT all . --. 0.0.0.0/0 0.0.0.0/0 state RELATE.D,ESTABLISHED.
Drop a.ll -- 0.0.0..0/0 0.0.0.0/0虚拟主机
DROP all -- 0.0.0.0/0 . 0.0.0..0/0虚拟主机
C.hain net2fw (.1 references) 婚庆
target prot opt source . destin.ation.
ACCEPT . all -- 0.0.0...0/0 0.0.0.0/0 state RELATED,ESTABLISHED.
A.CCEPT tcp -- 0.0.0.0/0 0.0..0.0/0 tcp dpt:14682(广告)
ACCEPT .udp -- 0.0.0.0/0 . 0.0.0.0/0 udp dpt:14682.
ACCEPT tcp -- 0.0.0.0/0 . 0.0.0.0/0 tcp dp.t:14692.
ACCEPT udp -- 0.0.0.0/0 0.0.0..0/0 ud.p dpt:14692外贸
n.et2all all -- 0.0.0.0/.0 0.0.0.0/0.
Chain net.2lan (1 ref.erences) 乙肝
targ.et prot. opt source destination.
ACCEPT all -- 0.0.0.0/0 0..0.0.0/0 state RELATED,ESTA.BLIS.HED.
ACCEPT tcp -- .0.0.0.0/0 . 192.168.0.129 tcp dpt:14672 女人
ACCEP.T udp -- 0.0.0.0/0 . 192.168.0.129 udp dpt:14672域名
n.et2all all -- 0.0.0.0/0 . 0.0.0.0/0 汽车
Chain pp.p0_fwd (.1 references).
target p.rot opt source destinatio.n 杀毒
dynamic . . all -- 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW. 美容
net2lan all -- 0.0.0.0/0 0.0.0.0/0 . policy mat.ch dir out po.l none域名
Chain ppp.0_i.n (1 references)[成人用品]
target prot .opt source . destination.
dynamic all -- 0.0.0.0/0 . 0.0.0.0/0 state. INVALID.,NEW服务器
net2fw . all -- 0.0.0.0/0 0.0.0.0/.0 policy match dir in pol .none
Chain reject. (10 r.eferences)学习
targ.et prot opt source . destination( 游戏 )
DROP all -- 255..255.255..255 0.0.0.0/0<性病>
DROP all -- 224.0.0.0/4 . .0.0.0.0/0 婚庆
DRO.P . all -- 0.0.0.0/0 0.0.0.0/0 P.KTTYPE = broadcast.
DROP all -- 0.0.0.0/..0 . 0.0.0.0/0 PKTTYPE = multicast外贸
DROP . all .-- 255.255.255.255 0.0.0.0/0健康
DROP all . -- 224..0.0.0/4 0.0.0.0/0 乙肝
REJECT tcp -- 0.0.0...0/0 0.0.0.0/0 reject-with tcp-res.et域名
REJECT . udp -- 0.0.0.0/0 . 0.0.0.0/0 reject-wi.th icmp-port-unreachable学习
REJECT icmp -- 0.0.0.0/0 0.0.0..0/0 reject-wit.h ic.mp-host-unreachable外贸
REJECT a.ll -- 0.0.0.0/0 0.0.0.0/0 . reject-with ic.mp-host-prohibited健康
Chain. sho.rewall (0 references)虚拟主机
target .prot opt source . destination 乙肝
Chain smur..fs (0 references) 女人
ta.rget prot opt sour.ce destination 杀毒
LOG all . -- 255.255.255.255 0.0.0.0/0 LOG flags 0 level 6 pref.ix `Sh.orewall:smurfs:DROP:' 健康
DROP all -- 255.255.255..255 0..0.0.0/0 汽车
LO.G all -- 224.0.0.0/4 0.0.0.0/0 LOG flags 0 level .6 .prefix `Shorewall:smurfs:DROP:'.
DROP all -.- 224.0.0.0/4 . 0.0.0.0/0.
复制代码
