Linux做代理服务器，800个客户端，经常出现系统崩溃

dream3401

谢谢提醒，看来我对于网络地址转换（NAT）的原理有问题，NAT 只是建立一个映射表，根据映射表进行相应的地址与端口转换。而并不会在服务器上与外部建立真正TCP联接。而netfilter 是在进行NAT之后作用于网络数据包的。这种理解是否对？指楼上的指正！

hzbiz

Post by flyingzf
一个校园宿舍网，大概有800台左右的客户端，客户端有很多感染震荡波、冲击波等病毒的机器。用一台P42．8/512/内存的机器安装Red Hat Linux9.0，做NAT，做MAC地址绑定，并封掉了已知的病毒攻击的端口，像135－139，445，4444等，还屏掉了ICMP包。
目前有很多客户端上不了网或上网速度很慢，Red Hat Linux9.0还会经常出现死机状况。请问大家有什么办法能够解决这800台机器稳定上网的问题？代理服务器应当如何修改，或是有什么其它的软硬件解决方案，请赐教。

附防火墙脚本
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -t nat -F
iptables -P FORWARD DROP
iptables -A FORWARD -s 192.168.0.0/16 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to x.x.x.x
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
#/sbin/iptables -A FORWARD -p tcp -d 0.0.0.0/24 --dport smtp -i eth0 -j REJECT
#iptables  -t filter -A INPUT -j REJECT  -p tcp --dport smtp
#iptables  -t filter -A OUTPUT -j REJECT  -p tcp --dport smtp
iptables -A FORWARD -p tcp --dport 3300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3550 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5500 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5100 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7200 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16300 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16301 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 16302 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5600 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 10000 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44405 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55557 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 44400 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55960 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55902 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55962 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55970 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 55901 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7003 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27015 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 27016 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5555 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6666 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 7777 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 135 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 136 -o eth0 -j DROP
iptables -A FORWARD -P tcp --dport 137 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 138 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 139 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 3127 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1433 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 1434 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 445 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5800 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 5900 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 6667 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 4444 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 69 -o eth0 -j DROP
iptables -A FORWARD -p tcp --dport 593 -o eth0 -j DROP
UDP 也屏掉了同样了的端口

:beat
我也想这样子做一个，能否把你的方案给我一份呢？？？