新手求助~！关于双网卡做服务器共享上网

lockfan_wj

如题

主机系统为FC5，双网卡
eth0: 192.168.1.254 / 255.255.255.0 / 网关空
eth1: 固定外网IP，61.185.218.XX / 255.255.255.252 / 61.185.218.XXX

客户机系统XP， IP为192.168.1段，掩码255.255.255.0 网关192.168.1.254

现在只需要客户机能正常上网，至于路由、防火墙规则和SQUID透明代理都不做要求

查阅了一些资料，给出相关配置文件，烦请各位大大指点..

/etc/rc.d/rc.local

1. echo 1 > /proc/sys/net/ipv4/ip_forward
   
2. modprobe ip_nat_ftp
   
3. modprobe ip_conntrack
   
4. modprobe ip_conntrack_ftp
   
5. modprobe ip_conntrack_irc
   
6. /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j MASQUERADE
   

复制代码

/etc/sysconfig/iptables/   直接照抄了某大大的配置文件，自己修改了一点....

1. # Firewall configuration written by system-config-securitylevel
   
2. # Manual customization of this file is not recommended.
   
3. # mangle 段
   
4. *mangle
   
5. :PREROUTING ACCEPT [0:0]
   
6. :OUTPUT ACCEPT [0:0]
   
7. COMMIT
   
8. #
   
9. #
   
10. # nat 段
    
11. *nat
    
12. :PREROUTING ACCEPT [0:0]
    
13. :POSTROUTING ACCEPT [0:0]
    
14. :OUTPUT ACCEPT [0:0]
    
15. #
    
16. # 为使用 SQUID 作“透明代理”而设定！
    
17. #
    
18. # 没有指定 网卡、地址：
    
19. #[0:0] -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
    
20. #
    
21. # 指定 网卡、地址：
    
22. #[0:0] -A PREROUTING -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 80 -j #REDIRECT --to-ports 3128
    
23. #[0:0] -A PREROUTING -s 192.168.20.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 443 -j #REDIRECT --to-ports 3128
    
24. # 将 对于 80、443 端口的访问 重定向到 3128 端口。
    
25. #
    
26. #
    
27. # 这些机器可以走这个机器做网关上 Internet 网。
    
28. # 需要在 /etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1
    
29. # 或者 echo 1 > /proc/sys/net/ipv4/ip_forward
    
30. # 由于利用 SQUID 实现了“透明代理”，Masq 取消相应的客户地址。
    
31. # 这里，只剩下几个需要利用“IP伪装”来上网的机器（可以上 QQ、雅虎通、msn 之类的）：
    
32. #
    
33. #[0:0] -A POSTROUTING -s 192.168.20.3 -j MASQUERADE
    
34. #[0:0] -A POSTROUTING -s 192.168.20.10 -j MASQUERADE
    
35. #[0:0] -A POSTROUTING -s 192.168.20.32/255.255.255.240 -j MASQUERADE
    
36. # 若你的 公网的 IP 地址是固定的，使用这个语句似乎更好些：
    
37. [0:0] -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j SNAT --to 61.185.218.30
    
38. COMMIT
    
39. #
    
40. #
    
41. # filter 段
    
42. *filter
    
43. :INPUT ACCEPT [0:0]
    
44. :FORWARD ACCEPT [0:0]
    
45. :OUTPUT ACCEPT [0:0]
    
46. :RH-Firewall-1-INPUT - [0:0]
    
47. -A INPUT -j RH-Firewall-1-INPUT
    
48. -A FORWARD -j RH-Firewall-1-INPUT
    
49. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
    
50. -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
    
51. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
    
52. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
    
53. -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
    
54. -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
    
55. -A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
    
56. -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
57. -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
    
58. #
    
59. # 屏蔽 来自 microsoft 的站点:
    
60. [0:0] -A INPUT -s 207.46.0.0/255.255.0.0 -j DROP
    
61. [0:0] -A INPUT -d 207.46.0.0/255.255.0.0 -j DROP
    
62. #
    
63. # 防止IP欺骗：
    
64. # 所谓的IP欺骗就是指在IP包中存在着不可能的IP源地址或目标地址。
    
65. # eth1是一个与外部Internet相连，而192.168.20.0则是内部网的网络号，
    
66. # 也就是说，如果有一个包从eth1进入主机，而说自己的源地址是属于
    
67. # 192.168.20.0网络，或者说它的目标地址是属于这个网络的，那么这显
    
68. # 然是一种IP欺骗，所以我们使用DROP将这个包丢弃。
    
69. [0:0] -A INPUT -d 192.168.1.0/255.255.255.0 -i eth1 -j DROP
    
70. [0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth1 -j DROP
    
71. #
    
72. # 同样的，如果有包要通过eth1向Internet，而且它的源地址或目标地址是属于
    
73. # 网络192.168.20.0，那么显然也是不可能的。我们仍然使用DROP将它丢弃。
    
74. [0:0] -A OUTPUT -d 192.168.1.0/255.255.255.0 -o eth1 -j DROP
    
75. [0:0] -A OUTPUT -s 192.168.1.0/255.255.255.0 -o eth1 -j DROP
    
76. #
    
77. # 防止广播包从IP代理服务器进入局域网：
    
78. [0:0] -A INPUT -s 255.255.255.255 -i eth0 -j DROP
    
79. [0:0] -A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
    
80. [0:0] -A INPUT -d 0.0.0.0 -i eth0 -j DROP
    
81. # 当包的源地址是255.255.255.255或目标地址是0.0.0.0，则说明它是一个
    
82. # 广播包，当广播包想进入eth0时，我们就应该DENY，丢弃它。而240.0.0.0/3
    
83. # 则是国际标准的多目广播地址，当有一个源地址是属于多目广播地址的包，
    
84. # 我们将用DROP策略，丢弃它。
    
85. #
    
86. # 屏蔽 windows xp 的 5000 端口（这个端口是莫名其妙的 ！）
    
87. [0:0] -A INPUT -p tcp -m tcp --sport 5000 -j DROP
    
88. [0:0] -A INPUT -p udp -m udp --sport 5000 -j DROP
    
89. [0:0] -A OUTPUT -p tcp -m tcp --dport 5000 -j DROP
    
90. [0:0] -A OUTPUT -p udp -m udp --dport 5000 -j DROP
    
91. # 原来是用来跑 vpn 的，呵呵，我误解了。
    
92. #
    
93. #
    
94. # 防止 Internet 网的用户访问 SAMBA 服务器：
    
95. [0:0] -A INPUT -s 61.185.218.30 -i eth1 -p tcp -m tcp --dport 137:139 -j DROP
    
96. [0:0] -A INPUT -s 61.185.218.30 -i eth1 -p udp -m udp --dport 137:139 -j DROP
    
97. [0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 137:139 -j ACCEPT
    
98. [0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -p udp -m udp --dport 137:139 -j ACCEPT
    
99. [0:0] -A INPUT -s 61.185.218.30/255.255.255.252 -i eth1 -p tcp -m tcp --dport 137:139 -j ACCEPT
    
100. [0:0] -A INPUT -s 61.185.218.30/255.255.255.252 -i eth1 -p udp -m udp --dport 137:139 -j ACCEPT
     
101. [0:0] -A INPUT -p tcp -m tcp --dport 137:139 -j DROP
     
102. [0:0] -A INPUT -p udp -m udp --dport 137:139 -j DROP
     
103. #
     
104. #
     
105. # 对于本局域网用户不拒绝访问：
     
106. [0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -p tcp -j ACCEPT
     
107. [0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -p udp -j ACCEPT
     
108. #
     
109. #
     
110. [0:0] -A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
     
111. [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
     
112. [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
     
113. [0:0] -A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
     
114. #
     
115. #
     
116. [0:0] -A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
     
117. [0:0] -A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
     
118. #
     
119. # 防止 Internet 用户访问 SQUID 的 3128 端口：
     
120. #[0:0] -A INPUT -s 61.185.218.x -i eth1 -p tcp -m tcp --dport 3128 -j DROP
     
121. #[0:0] -A INPUT -s 192.168.1.0/255.255.255.0 -i eth0 -p tcp -m tcp --dport 3128 -j ACCEPT
     
122. #[0:0] -A INPUT -s 61.185.218.x/255.255.255.240 -i eth1 -p tcp -m tcp --dport 3128 -j ACCEPT
     
123. #[0:0] -A INPUT -p tcp -m tcp --dport 3128 -j DROP
     
124. #
     
125. # 让人家 ping 不通我 ！
     
126. #[0:0] -A INPUT -i eth1 -s 192.168.30.0/24 -p icmp -m icmp --icmp-type 8 -j ACCEPT
     
127. #[0:0] -A INPUT -i eth1 -s 61.185.218.x/28 -p icmp -m icmp --icmp-type 8 -j ACCEPT
     
128. #[0:0] -A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j DROP
     
129. #
     
130. COMMIT
     
131. # ======================= 结束 =======================
     

复制代码

lockfan_wj

没人理。。。。。
自己坐沙发