|
|
这几天,本人一直都在研究IPTABLES,因为准备做为公司的软路由嘛。经过对理论知识进行长期的研究(尽管看着很头疼),于昨天上午开始实战,战斗一直持续到现在,战况激烈,到了白热化阶段的时候,iptables出了一损招,使我方快败下阵了,无奈,到论坛里来帮救兵,希望各位大哥大姐参谋参谋,出出主意。在此,本人先谢谢大家了。
下面,我先把战况介绍:
我规划的是让iptables与squid合并,既是防火墙、又是透明**。我是先与iptables斗,把iptables征服后再把铁蹄踏向squid。
CENTOS5.2(final) 2.6.18-92.el5
两千兆网卡,eth0:内网,192.168.1.1/24,eth1:外网,x.x.x.x。而且没有物理损坏。
以下是我的出招:
vi /etc/sysctl.conf
将net.ipv4.ip_forward = 0 改为 1,启用转发
cat /proc/sys/net/ipv4/ip_forward
1 #显示的是1哦
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_nat_irc
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
iptables -P INPUT DRPO
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
service iptables restart (注意,现在为此还没装SQUID)
然后,iptables不知道使用了哪一招,以至于出现如下情况:
在CENTOS上,既能访问内网,亦能访问INTERNET,但是,内网能PING到192.168.1.1,既CENTOS的eth0,可就死活访问不了INTERNET。
我看了下:/proc/sys/net/ipv4/ip_forward,显示的是:1.
如果说是我NAT的时候出了什么错的话,从命令来看,亦不可能啊,POSTROUTING、PREROUTING、OUTPUT和FORWARD都ACCEPT了,其它的策略我也没动,iptables也没出现什么出错的提示信息,/var/log/messages也是正常……(查了两天也没找出来原因)
所以,希望各位帮帮小弟,以便小弟彻底征服LINUX!
小弟在此多谢了! |
|
IP卡
狗仔卡
发表于 2009-2-2 15:36:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡