[问题求助][CentOS] linux的NAT效率是不是比windows低？ [复制链接]

一台机器，一个r.ealtek 8139网卡连路由器，一个dlink5.30连交换机。.
centos 5.3，iptables开.启snat，内部往外的一律通过，结果网页时不时就打不开，再.就要刷新几下才能开。启用Squid透.明代理也差不多，可能还要差些。            杀毒
换到windows下，用ISA2006，也一律通过，结果就没事了。 郁闷到不行http://upload.bbs.csuboy.com/Mon_1004/126_6637_893987e7a18c182.gif[/img](        游戏          )

不应该啊.
贴下iptables脚本

QUOTE:原帖由 RYBACK 于 2009-6-26 10:55 发表
一台机器，一个realtek 8139网卡连路由器，一个dlink530连交换机。
centos 5.3，iptables开启snat，内部往外的一律通过，结果网页时不时就打不开，再就要刷新几下才能开。启用Squid透明代理也差不多，可能还要 ...

如果纯 NAT 和 squid 都不行，并且如果你在启用 squid 的情况下没对其他数据做 NAT，那应该不是 linux NAT 的问题
因为使用 squid 的话实际并没有多少数据被 NAT 了

看到白老大了，你那个置顶里面的PDF我下下来文字都变形了，有没有新版的PPT的啊

因为刚接触iptables，所以看了几十页iptables指南和别人的一些设置，然后弄了这个出来
#!/bin/sh

wan_if="eth1"

wan_ip="192.168.0.2"

lan_if="eth0"

lan_ip="192.168.1.1"

lan_range="192.168.1.0/24"

iptables -F

iptables -X

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

iptables -F -t mangle

iptables -X -t mangle

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



iptables -A INPUT -p ALL -i $lan_if -s $lan_range -j ACCEPT

iptables -A OUTPUT -p ALL -o $lan_if -d $lan_range -j ACCEPT

#SNAT

iptables -t nat -A POSTROUTING -s $lan_range -o $wan_if -j SNAT --to $wan_ip

#透明代理

#iptables -t nat -A PREROUTING -s $lan_range -i $lan_if -p tcp --dport 80 -j REDIRECT --to-port 3128

#DNS

iptables -A OUTPUT -o $wan_if -p udp -s $wan_ip --sport 32768:61000 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $wan_if -p udp -s any/0 --sport 53 -d $wan_ip --dport 32768:61000 -j ACCEPT

iptables -A OUTPUT -o $wan_if -p tcp -s $wan_ip --sport 32768:61000 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $wan_if -p tcp -s any/0 --sport 53 -d $wan_ip --dport 32768:61000 -j ACCEPT

iptables -A OUTPUT -o $wan_if -p udp -s $wan_ip --sport 53 -d any/0 --dport 53 -j ACCEPT

iptables -A INPUT -i $wan_if -p udp -s any/0 --sport 53 -d $wan_ip --dport 53 -j ACCEPT

#允许端口转发

iptables -A FORWARD -i $lan_if -j ACCEPT

iptables -A INPUT -i $wan_if -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p udp -i $wan_if -d $lan_range -j ACCEPT
复制代码

可能是你规则设置的问题
给你重写一下，你试试这个呢

#!/bin/sh

wan_if="eth1"

wan_ip="192.168.0.2"

lan_if="eth0"

lan_ip="192.168.1.1"

lan_range="192.168.1.0/24"

iptables -F

iptables -X

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

iptables -F -t mangle

iptables -X -t mangle

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



iptables -A INPUT -p ALL -i $lan_if -s $lan_range -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



#SNAT

iptables -t nat -A POSTROUTING -s $lan_range -o $wan_if -j SNAT --to $wan_ip



#透明代理

#iptables -t nat -A PREROUTING -s $lan_range -i $lan_if -p tcp --dport 80 -j REDIRECT --to 3128
复制代码

谢谢了，我刚看了一下置顶的那个FAQ，也怀疑是因为那几个默认策略DROP的问题，
不过现在暂时没法试了，大家都用着呢。
还有个问题要问一下，我想默认拒绝所有内部访问外部，然后要用哪些就开那些，现在默认策略是ACCEPT，那我要怎么做

那就这样
#!/bin/sh

wan_if="eth1"

wan_ip="192.168.0.2"

lan_if="eth0"

lan_ip="192.168.1.1"

lan_range="192.168.1.0/24"

iptables -F

iptables -X

iptables -F -t nat

iptables -X -t nat

iptables -Z -t nat

iptables -F -t mangle

iptables -X -t mangle

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP

iptables -A INPUT -i lo -j ACCEPT



iptables -A INPUT -p ALL -i $lan_if -s $lan_range -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT



#SNAT

iptables -t nat -A POSTROUTING -s $lan_range -o $wan_if -j SNAT --to $wan_ip



#透明代理

#iptables -t nat -A PREROUTING -s $lan_range -i $lan_if -p tcp --dport 80 -j REDIRECT --to 3128



#过滤规则

iptables -A FORWARD -s $lan_range -i $lan_if -p <tcp/udp> --dport <port(s)> -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
复制代码

谢谢，你那个《2 小时玩转 iptables 企业版 v1.5.4.pdf》有没有新的PPT版的，这个pdf我这里看到里面字都寄到一起了，重重叠叠没法看

有 PPT，但考虑到有 Linux 用户所以做成了 PDF
我一会把 PPT 也一并放上去好了