[问题求助]很抓狂的问题 [复制链接]

网络环境：
[NetGear KWGR614.无线路由器]----------｛无线网卡==.F35主机==有线网卡｝++++++笔记本           建材

无线路由器和F35主机.之间是靠一块无线网卡连接的，.笔记本跟F35主机是有线连接的。              乙肝
笔记本的IP是，192.168.10.252./24           女人
F35主机，有线网卡IP是19.2.168.10.254/24，无线网.卡是192.168.1.3/24网关是192.168.1.1也就是无线路由的IP.

我在F35主机上做NAT了，笔记本可以上网，但是很慢，整个路由器都慢.，上去看日志发现一些IP Sp.oofing           鲜花
内容是这样的：
Monday,11 Jan 2010 04:01:40 [IP Spoo.fing](T.CP) LAN to WAN 192.168.10.252:4522->192.168.1.1.:80 [Drop]    健康

Monday,11 Jan 2010 04:01:40 [IP Spoofing](TCP) LAN to WAN 19.2.168.10.2.52:4523->192..168.1.1:80 [Drop][成人用品]

Monday,11 Jan 2010 04:01:40 [IP Spoofing](TCP) LAN t.o WAN 192.168.10.252:4524-.>192..168.1.1:80 [Drop]服务器
复制代码
你肯定认为是我的Iptables的N..AT没做好，策略如下：健康
root.@F3.5:~/bin# iptables -t nat -vnL.

Chain PREROUTI.NG (po.licy ACCEPT 586 packets, 46593 bytes)(        游戏          )

pkts bytes .target  .   prot opt in     out     source               destination      .   电影



Chain POSTROUT.ING (pol.icy ACCEPT 93 packets, 8475 bytes)外贸

pkts bytes target  .   prot opt in     out     source               destin.at.ion                          建材

  . 76  42.00 MASQUERADE  all  --.  *      *       192.168.10.0/24      0.0.0.0/0                         乙肝



Chain. OUTPUT (policy ACCEPT 64 p.ackets, 4700 bytes)虚拟主机

pkts bytes t.a.rget     pro.t opt in     out     source               destination   教育


复制代码
很郁闷.，怎么就没伪装出去呢？还呗路由器发现了原始IP。。.。.
我试过，SNAT方式也这样。

感觉上网很慢这个问题比较奇怪
有几个问题需要确认一下
1、是只有笔记本上网慢，还是这样做了以后所有人都感觉慢，若是后者，NAT 规则保持不变，物理连接保持不变，设置 ip_forward = 0 试试看
2、看看是否与启用了 SELinux 有关，设置成 Disabled 重启试试
3、看看网络中是否存在 ARP 病毒，在 F35 和笔记本上抓包看看是否有广播风暴
4、F35 上是不是跑了什么东西，是什么提示“IP Spoofing](TCP) LAN to WAN”字样的，我 google 没查到有相同提示的资源
5、若仍无法解决问题，可尝试将 WAN 和 LAN 做成 bridge，这样笔记本通过有线上网就好像无线一样了

QUOTE:原帖由 platinum 于 2010-1-11 09:23 发表
感觉上网很慢这个问题比较奇怪
有几个问题需要确认一下
1、是只有笔记本上网慢，还是这样做了以后所有人都感觉慢，若是后者，NAT 规则保持不变，物理连接保持不变，设置 ip_forward = 0 试试看
2、看看是否与 ...

嘻嘻，我还说给你发过去呢，你自己就来看了。


1、如果按照如上拓扑接入的话，整体都慢，甚至IP Spoofing严重的时候导致路由器掉线之类的，ip_forward禁用掉之后还能正常NAT么？理论上不能了吧？不过我没试过。
2、F35没有启动SeLinux，也不支持。
3、广播病毒的可能性比较小，我抓过包，基本都是正常的http数据，因为是两台机器直接以太相连的所以广播也少。
4、IP Spoofing是Netgear路由器报的错，在日志里面看到的。
5、我们的思路很相近，我开始就是这么想的，这几块网卡戳个Bridge出来，我想他肯定是帮我透传出去了呢，结果不行，研究了半天proxyarp也没啥结果，不过那个会是下一部研究的。
我是想看到这个抓狂的问题就先看看吧，昨晚折腾了一个通宵也没啥思路，搞不明白哪里的问题。
F35做NAT的内核是2.6.27，如果路由器上果真收到源IP是192.168.10.252过来的数据包，那是不是意味着这个NAT有漏包现象呀？
这个问题很有折腾价值哦。

QUOTE:1、如果按照如上拓扑接入的话，整体都慢，甚至IP Spoofing严重的时候导致路由器掉线之类的，ip_forward禁用掉之后还能正常NAT么？理论上不能了吧？不过我没试过。

禁掉后肯定是不能 NAT 了，不过我就是想测试一下在什么都不变的情况下，仅仅从 F35 上禁掉 NAT，路由器是否还抓狂
从而缩小问题范围

另外，如果可能的话，能否通过某种技术手段抓一下 NETGARE 收到的内网数据
而且在 F35 的 WAN 上也抓一下数据，看抓狂时是否真的有 192.168.10.252 这个地址存在，我很纳闷 NETGARE 怎么知道这么个地址的？？？

QUOTE:原帖由 platinum 于 2010-1-11 11:40 发表

禁掉后肯定是不能 NAT 了，不过我就是想测试一下在什么都不变的情况下，仅仅从 F35 上禁掉 NAT，路由器是否还抓狂
从而缩小问题范围

另外，如果可能的话，能否通过某种技术手段抓一下 NETGARE 收到的内网 ...

哥哥，我禁掉NAT就看不见路由器了，是不抓狂了，消停了，可我也上不了网了。
Netgare通过无线连的，中间又没法加桥，还真不好弄。
我想是不是可以用另一个笔记本，跟F35做ad-hoc来把自己模拟成路由器端，听听包试试。

[ 本帖最后由 Yuri.G. 于 2010-1-11 17:57 编辑 ]

QUOTE:原帖由 baidu874 于 2010-1-11 17:23 发表
能不能把F35主机的接口信息以及路由信息提供一下？

另外，你把这套系统连上你的网络的时候，你是看到路由器上不停的生成
Monday,11 Jan 2010 04:01:40 (TCP) LAN to WAN 192.168.10.252:4524->192.168.1.1: ...

F35很普通的一个Linux，路由表就是本地两个网段，还有一个default Gateway指向无线路由器。我晚上看能不能拷出来。
是的，我接上去之后就不停生成IP　Spoofing的日志，同时路由器很慢，网络也很慢，长时间的话会掉线。

QUOTE:原帖由 baidu874 于 2010-1-11 18:04 发表
实在不行你这样试试吧：

在你的netgear上做一条静态路由
192.168.10.0/24 gw 192.168.1.3
然后把F35上的NAT去掉
在netgear上做NAT。
看看这样是不是就好了。
感觉你这个是NAT有问题。

那样也会报IP Spoofing的，而且完全拒绝数据包，还要在F35上打开ARP代理