iptables：snat后不能ping通同网段的其它机器|Linux系统专区人人网,QQ空间,登陆,renren,注册,校内,刷人气

离线samk750.

初中三年级

发帖: 2038

C币: -60693

威望: 392

贡献值: 1

银元: -3

铜钱: 4684

人人网人气币: 0

只看楼主倒序阅读使用道具楼主发表于: 2009-05-01

192.168.1.1        192.168.1.25   .  192.168..2.1           192.168.2.10.
INTERNET----------ROUTER------------------.----.----V_PC1--------------------------V_P.C2           女人
V_PC1、V_P.C2都是虚拟系统，系统的本身地址为192.168..1.2虚拟主机
V_PC1的网络配置
eth0   Link encap:Etherne.t  HWaddr 00.:0C:29:94:E9:EB             女人
          inet a.ddr:192.168.1.2.5  .Bcast:192.168.1.255  Mask:255.255.255.0   .

eth1   Link encap:Ethernet  HWaddr 00:0C:.29:9.4:E9:F5  外贸
          inet a.ddr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255..0.
V_.PC1的iptables配置(        游戏          )
iptables -t nat -.nvL学习
Chain. POSTROUTING. (policy ACCEPT 12 packets, 851 bytes)教育
pkts bytes target     prot opt in     out     sour.ce .     .         destination              (        游戏          )
1    84 SN.AT   .    all  --  *      *       192.168.2.10         0.0.0.0/0           to:192.168..1.125              电子

iptable.s  -nvL      教育
Ch.ain INPUT (po.licy ACCEPT 3588 packets, 278K bytes)           女人
pkts. bytes target    . prot opt in.     out     source               destination                      电子

Chain F.ORWARD (policy ACCEPT 4.53 packets, 384K bytes).
pkts bytes target     prot opt in     out.     sour.ce.               destination         .

Chain. OUTPUT (policy ACCEPT 2998 packets, 409K bytes.)学习
pkts bytes target     prot opt in .    ou.t     source    .           destination     投资
在.V_PC2上ping 192.168.1.1 和192.168.1.100（是真实的机.器，不是虚拟机），ping不通，在V_PC1上能看到192.168.2.10转换成192.168.1.125。当但就是没有回应报文，是不是192.168.1..1广播arp请求，但查不到192.168.1.125的mac表导致ping不通1.92.168.1.1啊。怎么设置才可以pi.ng通192.168.1.1或.100啊(        游戏          )

评价一下你浏览此帖子的感受

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

离线电脑刺良.

初中三年级

发帖: 2021

C币: -235653

威望: 381

贡献值: 1

银元: -1

铜钱: 4484

人人网人气币: 0

只看该作者沙发发表于: 2010-04-13

系统IP为192.168.1.2;
V_PC1、V_PC2是安装在192.168.1.2上的虚拟系统;
V_PC1有两个IP:192.168.1.25和192.168.2.1,这里,V_PC1相当于一个代理服务器;
问下:
    1.V_PC1有没有开启数据转发功能?
    2.贴一下iptables -L -n和iptables -t nat -L -n的内容或者iptables-save的内容;
    3.贴一下V_PC2的网络信息;

离线billliy.

初中三年级

发帖: 2043

C币: -60738

威望: 390

贡献值: 1

银元: -2

铜钱: 4592

人人网人气币: 0

只看该作者板凳发表于: 2010-04-13

V_PC1 已经开启数据转发功能，
cat /proc/sys/net/ipv4/ip_forward
1
[root@firewall ~]# iptables -n -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[root@firewall ~]# iptables -t nat -nL
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.2.10         0.0.0.0/0           to:192.168.1.125

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

V_PC2 的信息
debian:~# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 eth0
debian:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:0C:298:9E:EB

          inet addr:192.168.2.10  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fed8:9eeb/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:374 errors:0 dropped:0 overruns:0 frame:0
          TX packets:394 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:34434 (33.6 KiB)  TX bytes:44139 (43.1 KiB)
          Interrupt:169 Base address:0x2000

不才有SNAT，用MASQUEARD时是可以ping通的，也可以访问internet。在pc上抓数据包，可以看到收到报文，但pc就没有返回报文有类似的消息如下：
Num    Source Address    Dest Address   Summary
1        192.168.1.125     192.168.1.2       ICMP:Echo(ping)request
2        192.168.1.125     192.168.1.2       ICMP:Echo(ping)request
3        192.168.1.125     192.168.1.2       ICMP:Echo(ping)request
4        192.168.1.125     192.168.1.2       ICMP:Echo(ping)request

离线@地瓜叶小姐.

初中二年级

发帖: 1844

C币: -236143

威望: 320

贡献值: 1

银元: -2

铜钱: 4095

人人网人气币: 0

只看该作者地板发表于: 2010-04-13

哪来的 192.168.1.125？
若没有这个 IP，伪造源 IP 为 125 以后回包要回到 125 去，没有这个实体 IP 谁去接收回包？

离线pchhh.

初中三年级

发帖: 1960

C币: -235489

威望: 365

贡献值: 1

银元: 0

铜钱: 4343

人人网人气币: 0

只看该作者 4楼发表于: 2010-04-13

125？笔误？

离线janezhang.

初中三年级

发帖: 2088

C币: -235397

威望: 404

贡献值: 1

银元: -2

铜钱: 4730

人人网人气币: 0

只看该作者 5楼发表于: 2010-04-13

我的本意是把192.168.2.10地址转换为192.168.1.125，然后以这个地址和192.168.1.0/24网段上的其他机器通信，比如和192.168.1.100或192.168.1.1

离线kaobo.

初中三年级

发帖: 2065

C币: -60356

威望: 403

贡献值: 1

银元: -2

铜钱: 4722

人人网人气币: 0

只看该作者 6楼发表于: 2010-04-13

QUOTE:原帖由 emlin128 于 2007-11-20 23:49 发表

我的本意是把192.168.2.10地址转换为192.168.1.125，然后以这个地址和192.168.1.0/24网段上的其他机器通信，比如和192.168.1.100或192.168.1.1

那你在 Linux 上需要绑定一个 192.168.1.125 的 IP 实体，否则回包是对方无法通过 ARP 协议找到 125 所在 IP 所对应的 MAC 地址，无法进行通讯
你的思想是好的，但你的具体做法违背了网络基本原理，基础知识有待提高

离线qw2006.

初中三年级

发帖: 1975

C币: -140433

威望: 358

贡献值: 1

银元: -1

铜钱: 4396

人人网人气币: 0

只看该作者 7楼发表于: 2010-04-13

但是硬件防火墙可以实现这样的功能，在做好静态的地址映射后，映射好的地址就会跟防火墙的接口绑定。

eth0/0/0 eth0/0/1
PC1--------FIREWALL-----PC2
e0/0/0是192.168.2.0/24网段，e0/0/1是192.168.1.0/24；pc1的地址192.168.2.10，在防火墙做个静态的SNAT，PC1就可以和PC2网段的机器通信了。在防火墙上看mac表，可以看到nat后的地址及e0/0/1的mac已经相关联了。我对iptables不太了解，以为也可以向防火墙那样做呢。

离线xinjiao.

初中三年级

发帖: 2067

C币: -60723

威望: 386

贡献值: 1

银元: -2

铜钱: 4636

人人网人气币: 0

只看该作者 8楼发表于: 2010-04-13

QUOTE:原帖由 emlin128 于 2007-11-21 00:55 发表

但是硬件防火墙可以实现这样的功能，在做好静态的地址映射后，映射好的地址就会跟防火墙的接口绑定。

eth0/0/0 eth0/0/1
PC1--------FIREWA ...

防火墙对你来说是一个黑匣子，你怎知你在防火墙上通过鼠标点击的操作完成后，其内部机制没有做相关的地址绑定？

离线my9449.

初中三年级

发帖: 2057

C币: -139381

威望: 379

贡献值: 1

银元: -2

铜钱: 4539

人人网人气币: 0

只看该作者 9楼发表于: 2010-04-13

应该有类似的地址绑定功能。


	http://www.csuboy.com 访问内容超出本站范围，不能确定是否安全


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[问题求助]iptables：snat后不能ping通同网段的其它机器 [复制链接]