LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1562|回复: 19

求助:iptables问题

[复制链接]
发表于 2004-11-16 18:11:27 | 显示全部楼层 |阅读模式
公司里有192.168.32.xxx ,192.168.64.xxx两个网段,默认只能64网段访问32段,32段禁止访问64段。
    现在想让32段的一台机器(例如192.168.32.202)能够访问64网段,别的规则不变,请问各位大哥该怎么做呢?

    平时不懂iptables,真是书到用时方恨少啊 :(
发表于 2004-11-16 18:27:57 | 显示全部楼层
请你把你的
iptables-save > iptablesrule文件贴出来让我也学学...

一个内核转发
echo 1 > /proc/sys/net/ipv4/ip_forward

加一个一台电脑两个IP.即不然网段的...

其它的电脑网关都要指向这台...

这样就都通了..不过不能满足上面兄弟的要求.
 楼主| 发表于 2004-11-16 18:36:03 | 显示全部楼层
我的/etc/sysconfig/iptables:


# Generated by iptables-save v1.2.5 on Wed Jun  9 15:06:49 2004
*nat
:OUTPUT ACCEPT [0:0]
REROUTING ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
-A POSTROUTING -j ACCEPT
-A POSTROUTING -s 192.168.64.0/255.255.255.0 -o eth0 -j MASQUERADE
-A PREROUTING -s 192.168.32.0/255.255.255.0 -i eth0 -o eth1 -j ACCEPT
# just for 32 access to 64 getware
-A PREROUTING -s 192.168.32.57 -d 192.168.64.43 -j DNAT
COMMIT
# Completed on Wed Jun  9 15:06:49 2004
# Generated by iptables-save v1.2.5 on Wed Jun  9 15:06:49 2004
*mangle
REROUTING ACCEPT [12047:8446271]
:INPUT ACCEPT [1126:138786]
:FORWARD ACCEPT [10896:8304895]
:OUTPUT ACCEPT [774:152720]
OSTROUTING ACCEPT [11783:8472724]
COMMIT
# Completed on Wed Jun  9 15:06:49 2004
# Generated by iptables-save v1.2.5 on Wed Jun  9 15:06:49 2004
*filter
:INPUT ACCEPT [1102:135235]
:FORWARD ACCEPT [10690:8208401]
:OUTPUT ACCEPT [758:148984]
COMMIT
# Completed on Wed Jun  9 15:06:49 2004
 楼主| 发表于 2004-11-16 18:37:06 | 显示全部楼层
我的/etc/sysconfig/ipchains


# Firewall configuration written by lokkit
# Manual customization of this file is not recommended.
# Note: ifup-post will punch the current nameservers through the
#       firewall; such entries will *not* be listed here.
:input ACCEPT
:forward ACCEPT
utput ACCEPT
-A input -s 0/0 -d 0/0 25 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 21 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 22 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 23 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 950 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 8543 -p tcp -y -j ACCEPT
-A input -s 0/0 -d 0/0 -i lo -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth0 -j ACCEPT
-A input -s 0/0 -d 0/0 -i eth1 -j ACCEPT
-A input -p tcp -s 0/0 -d 0/0 0:1023 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 2049 -y -j REJECT
-A input -p udp -s 0/0 -d 0/0 0:1023 -j REJECT
-A input -p udp -s 0/0 -d 0/0 2049 -j REJECT
-A input -p tcp -s 0/0 -d 0/0 6000:6009 -y -j REJECT
-A input -p tcp -s 0/0 -d 0/0 7100 -y -j REJECT
 楼主| 发表于 2004-11-16 18:39:25 | 显示全部楼层
# ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:39:01:51:F7
          inet addr:192.168.32.60  Bcast:192.168.32.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:29466149 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21923514 errors:11 dropped:0 overruns:0 carrier:10
          collisions:4426991 txqueuelen:100
          RX bytes:611846053 (583.5 Mb)  TX bytes:2358911957 (2249.6 Mb)
          Interrupt:11 Base address:0xde00
                                                                                                                                               
eth1      Link encap:Ethernet  HWaddr 00:50:04:BE:35:B6
          inet addr:192.168.64.1  Bcast:192.168.64.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28561124 errors:0 dropped:0 overruns:4324 frame:0
          TX packets:32923729 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1220994935 (1164.4 Mb)  TX bytes:1383079007 (1319.0 Mb)
          Interrupt:10 Base address:0xdc00
                                                                                                                                               
lo        Link encapocal Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:23543 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23543 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2273784 (2.1 Mb)  TX bytes:2273784 (2.1 Mb)
 楼主| 发表于 2004-11-16 18:41:21 | 显示全部楼层
# iptables-save

# Generated by iptables-save v1.2.5 on Mon Nov 15 18:55:05 2004
*nat
REROUTING ACCEPT [582275:51957696]
OSTROUTING ACCEPT [37744:3958978]
:OUTPUT ACCEPT [37626:3952611]
-A POSTROUTING -s 192.168.64.0/255.255.255.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Mon Nov 15 18:55:05 2004
# Generated by iptables-save v1.2.5 on Mon Nov 15 18:55:05 2004
*filter
:INPUT ACCEPT [4362695:1826585534]
:FORWARD ACCEPT [15154531:10297597264]
:OUTPUT ACCEPT [3358627:532942287]
COMMIT
# Completed on Mon Nov 15 18:55:05 2004
 楼主| 发表于 2004-11-16 18:42:33 | 显示全部楼层
# cat /etc/sysctl.conf
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# Kernel sysctl configuration file for Red Hat Linux
#
# For binary values, 0 is disabled, 1 is enabled.  See sysctl(8) for
# more details.
                                                                                                                                               
# Controls IP packet forwarding
net.ipv4.ip_forward = 0
                                                                                                                                               
# Controls source route verification
net.ipv4.conf.default.rp_filter = 1
                                                                                                                                               
# Controls the System Request debugging functionality of the kernel
kernel.sysrq = 0
                                                                                                                                               
# Controls whether core dumps will append the PID to the core filename.
# Useful for debugging multi-threaded applications.
kernel.core_uses_pid = 1
发表于 2004-11-16 18:45:40 | 显示全部楼层
-A PREROUTING -s 192.168.32.202 -i eth1 -o eth0 -j ACCEPT

加上这一句不知可否...
发表于 2004-11-16 18:57:06 | 显示全部楼层
先用route -n看看你的路由表是什么状态.
如果估计不错, 这台机器是用eth0上网的. 只要加一句:
-A POSTROUTING -s 192.168.32.202/32 -d ! 192.168.64.1/24 -j SNAT --to 192.168.32.60
即可.

其实用SNAT跟MASQUERADE是一样的. 只不过SNAT功能更多, 可以指定一个地址池和特定端口.
 楼主| 发表于 2004-11-16 19:07:07 | 显示全部楼层
这是我的# route -n 的结果

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.64.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.32.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         192.168.32.1    0.0.0.0         UG    0      0        0 eth0
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表