[问题求助]rh7.3 三网卡squid+iptables的问题 [复制链接]

P4 1.7/512MB,win2K+.winroute做代理，一个外网，两.个内网，代理两个网段上网，192.168.10.0和192.168.11.0，用得好好的，但是因为内部的被动ftp服务器用winroute映射有.问题，准备改成linu.x。换了个电脑P3 1G,384MB，RH7.3+s.quid+iptables透明代理，准备测试稳定后替换下来，不过测试中发现不少问题.
1.squid的配置文件中指定了地址组后，在iptables里重定向80到3128后，经常无法上网，显示“已经找到网.站，.正在等待回应”就没下.文了。而且上不去网的时候从客户端ping外部域名没问题，比如ping www.sina.com.cn，而且telnet www..sina.com.cn 80也没问题。虚拟主机
2.解决方法，service squid restart，N.次，不定哪一次走了狗屎运了就能上去了，要么只能抛开squid，做纯iptables转发才能上网。而且打开网页..的速度，感觉squid+iptables比纯粹的iptables慢多了。    健康
3.能上网时，测试下载速度，rh7.3+squid+iptab.les的速度与win2.K+winroute相比有所差距，难道是计算机性能的原因么？电影
squid从网.上找优化方式，优化了N次，啥用没有，而且我的网络部分IP不允许上网的，需要squid分组控制的，不过现在这些都不敢想了，先能上网再说，所以又退回原来最基本的配置了。squid里默认的配置省略给各位节省眼球，只.把改动.过的配置的写下来           女人
acl net10 .192.168.10.0/24.
a.cl net11 192.168.11.0/24健康
......
http_access .allow local.host           建材
http_access allow net1.0域名
http_access a.llow net11[成人用品]
......
httpd_accel_ho.st virtual.
httpd_acc.el_port 80健康
httpd_accel_w.ith_proxy on.
httpd_accel_users._host_h.eader on(广告)

iptables.的，为了确.认是不是三块网卡的问题，我down掉了一个网卡，只用双网卡代理，配置如下             汽车
service ipta.bles stop[成人用品]
echo "1" > /proc./sys/net/ipv4/ip_f.orward.
modprobe ip_.tables.
modprobe ip_.nat_ftp<性病>
modprobe ip_con.ntrack健康
modprobe i.p_conntrack_ftp              乙肝
modprobe i.p_conntrack_irc服务器
iptables -P .INPUT DROP外贸
ipta.bles -P FORW.ARD ACCEPT.
iptables -P OUTPUT . ACCE.PT(广告)
iptables -A INP.UT -i eth.1 -j ACCEPT              乙肝
iptables -A .INPUT -i eth2 -j ACCEPT.    美容
ipt.ables -A INPUT -i eth0 -m state --state ES.TABLISHED,RELATED -j ACCEPT虚拟主机
iptables -A INP.UT -i eth0 -p udp --sport ! .53 -j DROP[成人用品]
iptables. -t nat -A POS.TROUTING -s 192.168.11.0/24 -j MASQUERADE.
iptables -t nat -A PREROUT.ING  -s 192.168.11.0/24 -p tcp --dport 80 .-j REDIRECT --to-p.orts 3128####这行加上就经常上不去网，不加这行，squid里.的地址分组权限就没法实现--------------彩票
i.ptables -A FORW.ARD -s 192.168..11.0/24 -d 192.168.10.0/24 -p ! icmp -j DROP##纯粹为了限制，不应该是这行惹祸了吧？           女人
盼望各位解惑

[ 本帖最后由 dbsrv 于 2006-4-24 .15:03 编辑 .]            杀毒

http://bbs.chinaunix.net/viewthr ... ;highlight=platinum

看过版主的精彩表达，谢谢。
不过我的iptables的规则是这样的：将外外网卡的INPUT除源端口是UDP53的数据包全部DROP，将内网卡的INPUT默认为允许，FORWARD也都允许，所以不存在无法访问squid3128端口的问题。我只是不明白这个代理的规则都正确，为啥浏览器上偶尔会打不开页面，而此时ping/telnet/tracert都能到达目的，害得我瞎折腾；而且squid+iptables打开页面的速度比我用了快3年的win2k+winroute慢很多，比单纯的iptables转发也慢，为啥呢？我也相信网上那些所谓的优化都是真的，但是好像都是个例。

把你的 iptables-save 结果贴一下看看吧

# Generated by iptables-save v1.2.5 on Mon Apr 24 23:06:37 2006
*filter
:INPUT DROP [3:144]
:FORWARD ACCEPT [126:9197]
:OUTPUT ACCEPT [1286:551070]
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0 -p udp -m udp ! --sport 53 -j DROP
-A INPUT -p icmp -m limit --limit 1/sec --limit-burst 10 -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DROP
-A FORWARD -i eth1 -p udp -m udp --dport 1434 -j DROP
-A FORWARD -i eth1 -p tcp -m tcp --dport 135 -j DROP
-A FORWARD -s 192.168.11.0/255.255.255.0 -d 192.168.10.0/255.255.255.0 -p ! icmp -j DROP
-A FORWARD -s 192.168.10.0/255.255.255.0 -d 192.168.11.0/255.255.255.0 -p ! icmp -j DROP
COMMIT
# Completed on Mon Apr 24 23:06:37 2006
# Generated by iptables-save v1.2.5 on Mon Apr 24 23:06:37 2006
*nat
REROUTING ACCEPT [807:105877]
OSTROUTING ACCEPT [58:3503]
:OUTPUT ACCEPT [52:3181]
-A PREROUTING -s 192.168.11.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -s 192.168.10.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.111.0/255.255.255.0 -j MASQUERADE##eth1上多绑定的一个测试IP，做单纯的转发测速时用的
-A POSTROUTING -s 192.168.11.0/255.255.255.0 -j MASQUERADE
-A POSTROUTING -s 192.168.10.0/255.255.255.0 -j MASQUERADE
COMMIT
# Completed on Mon Apr 24 23:06:37 2006

就是这个倒霉配置，如果哪天出门踩狗屎了，一天可能就会有N次不能上线；如果哪天网络一次都不断，那简直太神奇了。害得我到现在还放个win2k的服务器做它的备份。

[ 本帖最后由 dbsrv 于 2006-4-24 23:17 编辑 ]

规则有些问题，但无大碍
建议换成 AS3 等高版本系统试试

我们也遇到这个问题了。
真是有点麻烦。还有在透明代理下。会出现打不起卡丁车游戏的问题。
非透明下经常上不了网。