[已解决]winxp能上网，arch不能

SCys · 发表于 2007-6-19 14:18:46

对了，我的不是要你设置网关的Iptables，自己装个，把自己的对外的Ping禁止了。
我没有看过其他的。
还有，那个防火墙是改自Gentoo-wiki里面的一个脚本。

skee.crackpot · 发表于 2007-6-19 15:11:37

to flycraft

Crime Scene Investigation = 犯罪现场调查，美剧。
我也在调查蛛丝马迹，追踪让我无法上网的元凶

skee.crackpot · 发表于 2007-6-19 15:15:30

to jarryson

你把pacman.conf里面的源的网址换成ip，然后应该就可以升级了

你还可以换dns

我在第一贴就试过了，没用。

能ping同外网。说明只是dns出了问题。

现在能解析域名啊，我前面的分析哪里出错了吗？烦请指正。

skee.crackpot · 发表于 2007-6-19 15:50:42

to SCys

把Ping给屏蔽掉就好了（第18贴） / 把自己的对外的Ping禁止了（第31贴）

不明白这样做的意图:confused::ask

我对网络基础知识及iptables的了解都很有限，可不可以解释一下

为什么要禁止ping？
装iptables，并设置第17贴的script，是如何让我遇到的问题得到解决的？

如果我的疑问实在很白痴，或者解释起来很麻烦，可不可以指点一下，给几个关键词，我去google，补一下基础知识。

:thank

SCys · 发表于 2007-6-19 16:29:18

如果网关，仅仅是禁止Ping它的时候，就用它好了。

我的办法比较怪罢了，觉得这样的设置也是对你没有帮助的话。

PS:
Sir里有安全版块。那里问下，可能对你有帮助哦

skee.crackpot · 发表于 2007-6-19 16:45:00

to SCys

如果网关，仅仅是禁止Ping它的时候，就用它好了。

网关是可以ping的。确认网络配置正确的第一步我就ping网关，回应正常。

谢谢你的建议

skee.crackpot · 发表于 2007-6-20 12:20:55

[size=+1]问题已得到解决，谢谢大家的帮助！

网络基础知识薄弱才磨了这么久

误打误撞摸对了机关开了门

如果我的理解与分析不对，欢迎指正。

[size=+1]原因
网关限制了高端端口的请求。

[size=+1]分析
win下，firefox开几个网页，然后开个终端，netstat -ano

Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 1340
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:18350 0.0.0.0:0 LISTENING 256
TCP 127.0.0.1:1025 127.0.0.1:18350 ESTABLISHED 1872
TCP 127.0.0.1:1030 0.0.0.0:0 LISTENING 2316
TCP 127.0.0.1:1039 127.0.0.1:1040 ESTABLISHED 660
TCP 127.0.0.1:1040 127.0.0.1:1039 ESTABLISHED 660
TCP 127.0.0.1:1041 127.0.0.1:1042 ESTABLISHED 660
TCP 127.0.0.1:1042 127.0.0.1:1041 ESTABLISHED 660
TCP 127.0.0.1:1152 127.0.0.1:18350 TIME_WAIT 0
TCP 127.0.0.1:1159 127.0.0.1:18350 TIME_WAIT 0
TCP 127.0.0.1:1237 127.0.0.1:18350 TIME_WAIT 0
TCP 127.0.0.1:18350 127.0.0.1:1025 ESTABLISHED 256
TCP 192.168.1.44:1096 207.46.110.91:1863 ESTABLISHED 2544
TCP 192.168.1.44:1154 63.245.209.21:80 FIN_WAIT_1 660
TCP 192.168.1.44:1156 63.245.209.21:80 FIN_WAIT_1 660
TCP 192.168.1.44:1162 211.100.26.121:80 ESTABLISHED 660
TCP 192.168.1.44:1183 211.100.26.66:80 ESTABLISHED 660
TCP 192.168.1.44:1184 211.100.26.66:80 ESTABLISHED 660
TCP 192.168.1.44:1189 211.100.26.75:80 ESTABLISHED 660
TCP 192.168.1.44:1190 211.100.26.75:80 ESTABLISHED 660
TCP 192.168.1.44:1196 211.100.26.67:80 ESTABLISHED 660
TCP 192.168.1.44:1197 211.100.26.67:80 ESTABLISHED 660
TCP 192.168.1.44:1200 211.100.26.67:80 ESTABLISHED 660
TCP 192.168.1.44:1212 211.100.26.75:80 ESTABLISHED 660
TCP 192.168.1.44:1222 211.100.26.68:80 ESTABLISHED 660
TCP 192.168.1.44:1234 211.93.98.20:80 ESTABLISHED 660
TCP 192.168.1.44:1235 211.93.98.20:80 ESTABLISHED 660
TCP 192.168.1.44:1236 210.83.208.156:80 ESTABLISHED 660
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 1100
UDP 0.0.0.0:1038 *:* 1652
UDP 0.0.0.0:4500 *:* 1100
UDP 127.0.0.1:123 *:* 1460
UDP 127.0.0.1:1092 *:* 2544
UDP 127.0.0.1:1900 *:* 1792
UDP 192.168.1.44:9 *:* 2544
UDP 192.168.1.44:123 *:* 1460
UDP 192.168.1.44:1900 *:* 1792

复制代码

Local Address为192.168.1.44的TCP请求，端口全部为“1xxx”。
一周前也观察过win下正常上网时netstat -ano的输出，本地端口最高也就3xxx，没有超过4000的。

而arch下用wget抓包，netstat -tunpav，本地端口从32xxx起步！

win下耗带宽的常见软件及默认端口：
emule : 4662
bt : 6881-6889

公司为了防止使用电骡子和BT，封掉了高端端口。如果LAN内用户不会端口映射，自然用不了了。

我开始以为网关只会封目标端口。pacman -Sy调用wget访问http、ftp服务器，80端口和21端口“显然不会有问题”。
事实证明我的“自以为是”错了。

[size=+1]解决办法
1> /etc/rc.d/network stop

2> vim /etc/sysctl.conf，添加一行

net.ipv4.ip_local_port_range = 2000 4499

复制代码

3> systcl -p

4> /etc/rc.d/network start

端口上限4499是一步步缩小范围试出来的。只要>=4500就被封掉了。
至于端口下限2000，自己随便定的。反正已经大于1024，2500个端口够用了。

痛并快乐着:rolleyes:

flycraft · 发表于 2007-6-20 13:47:54

唉，早让你找网管，你偏不信

diony · 发表于 2007-6-20 13:57:34

Post by skee.crackpot

他的建议是：重启机器应该就好了！

lol，这网管真有意思。

flycraft · 发表于 2007-6-20 16:38:46

这个网管应该楼主来当

		自动登录	找回密码
密码			注册