ip_conntrack问题

hdmj

操作系统是redhat linux 9.0 双100M网卡
系统是刚刚安装的
我在/home/firewall目录下建立了一个脚本gw.sh
目的是为了实现NAT
可当执行此脚本时 机器变得异常缓慢 LAN内pc不能ping通此才网关机器
只有拔掉内部网卡的网线后 则正常!屏幕出现ip_conntrack等信息
结果无法实现NAT
以下是gw.sh脚本的内容
是不是我的脚本错误 还是什么问题?请大家帮助,谢谢!
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter
iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD DROP
iptables -A FORWARD -s 172.16.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/255.255.0.0 -j MASQUERADE

iptables -A OUTPUT -f -d 172.16.0.6 -j DROP
iptables -A INPUT -s 127.0.0.1 -p icmp -j DROP

iptables -A INPUT -s 0/0 -p udp --sport 135 -j DROP
iptables -A OUTPUT -s 0/0 -p udp --sport 135 -j DROP
iptables -A INPUT -s 0/0 -p udp --sport 137 -j DROP
#end

hdmj

自己顶~!!! :help

memory

连接好网线后查看：
cat /proc/net/ip_conntrack

最大的可能是内网通信量过高。

小粥

嘿嘿，局域网计算机要杀毒了！

可以通过拒绝某些端口的数据包来减小服务器的符合，但效果不是很理想

最好的办法是你把整个内网计算机杀遍毒
不要以为我是开玩笑，我干过，我曾经和我的8个同事花了整整一天的时间把我公司大楼里的两百多台计算机全部检查一遍

hdmj

可是我以前做nat时 内网流量一样很大  但没出现这样的问题!

如何是好啊~~

memory

劝你还是检查内网是否有病毒！有些病毒很可恶，尤其那些耗尽型的，一台机器可以打开几千个连接，即使使用硬设备作nat一样会将内存耗尽，造成正常流量无法通过。
很多病毒可查看 ip_conntrack文件查到，如发现同一ip打开过多的53、135、139、443、1434、icmp等连接，基本都可以断定已经中毒。

hdmj

非常感谢!!!
现出现问题的机器是刚刚安装的Redhat 9.0
在此之前NAT机器从没出现过ip_conntrack问题(我是指公司内部好多人bt下载) 看来真是病毒在作怪!
不知memory有没比较实用的iptables过滤脚本?

晨想

用iptables level 7 patch 就可以阻止bt了。。

晨想

iptables 里边 log 一下，就知道是什么东西了。。。

memory

没什么好办法！目前只能对已知的端口进行查封，如对外网的135、137、139、443端口及其反向的访问可以肯定是病毒所为。