[问题求助]一对一静态nat问题。（急） [复制链接]

我申请了电信的2.22.60.59.16/28一段ip地址,电信端地址为222..60.59.17教育
使用FC5做防火墙,三个网卡,eth0接公网,eth.1接dmz,eth2接内.网.             电子
我用.iptables -t nat -I PREROUTING -d 222.6.0.59.19 -j DNAT --to 10.100.1.1.将从外网访问nat到dmz(其他地址分别有别的用途)..
默认规则全部ACCEPT.
做好了之后.,刚开始可以从外网访问.到10.100.1.1,但是过了几个小时后就不行了.             电子
我用tcpdump 查看外网接口,不断有从222.60.59.17过.来的arp请求,询问222.60.59.19的mac地址..[成人用品]

请各位高.手帮我分析分析.问题所在,是我的linux设置问题,还是电信问题!不甚感激!           女人

我来回答

222.60.59.19

这个地址你配给谁了。

试试把那一段公网地址都分配给外网卡看看（假设外网卡是eth0）
比如
ip addr add eth0 222.60.59.18/28
ip addr add eth0 222.60.59.19/28
....
ip addr add eth0 222.60.59.31/28

或者
for ip in `seq 18 31`;do ip addr add eth0 222.60.59.$ip/28;done
这样也可以把所有的IP绑定到外网卡上。


还有，你得清楚ISP（电信）是否允许你这么做NAT（可以打电话询问）

因为，正常情况下，网关不会不断地发送arp请求以获取某个IP的对应的MAC的。

[ 本帖最后由 springwind426 于 2008-2-2 10:04 编辑 ]

因为，正常情况下，网关不会不断地发送arp请求以获取某个IP的对应的MAC的

这个arp请求是在需要通讯，并且本地的ARP表中没有对应的MAC的时候才发。如果网关不断的发，说明要么有频繁的通讯需求，要么可能病毒了。
建议LZ抓包看看ARP的源MAC是不是网关的，还有请求的是那个IP的MAC。